SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新 : netty、netty-tcnative (SUSE-SU-2026:1353-1)
high Nessus プラグイン ID 306709
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2026:1353-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。に更新してください 4.1.132
- CVE-2026-33870HTTP/ で、引用符で囲まれた文字列を不適切に解析します1.1 リクエストがスマグリングされる可能性がありますbsc#1261031。
- CVE-2026-33871CONTINUATION フレームのフラッディングを送信することで、サービス拒否が引き起こされる可能性がありますbsc#1261043。
変更ログ:
- アップストリームバージョン 4.1.132 にアップグレード
* 修正:
+ epoll_wait EINTR 再試行ループにおける不適切な nanos-to-millis 変換を修正 + RefCntOpenSslContext.deallocate をより堅牢にします + HTTP2展開する際にパディングを適切に考慮します + HttpUtil.validateToken における上位ビットエイリアスを修正します + 修正 + の優先度を高くしますより >> + AdaptiveByteBufAllocatorbyteBuf.capacity() が byteBuf.maxCapacity() を超えないようにします + AdaptivePoolingAllocatorbyteBuf の初期化が失敗した場合に unreserveMatchingBuddy(...) を呼び出します + CertificateFactory がスレッドセーフであると想定しません + HttpObjectAggregator の接続終了を修正しますAUTO_READ=false で 413 の後にスタックします + HTTP2すべての場合でプレフィックスがフラッシュされるようにします + readTrailingHeaders の UnsupportedOperationException を修正します + permessage-deflate 拡張の中の client_max_window_bits パラメーター処理を修正します + ネイティブトランスポート fcntl が失敗したときに起こり得る fd 漏洩を修正します。
+ KqueueGetStringUTFChars が失敗し、SO_ACCEPTFILTER がサポートされている場合の未定義の動作を修正します + Kqueuenetty_kqueue_bsdsocket_setAcceptFilter(...) を使用する際に起こり得るオーバーフロー + ネイティブトランスポートオープン FD 中に GetStringUTFChars が失敗する際の未定義の動作を修正します + Epoll安全性のため null チェックを追加します + Epoll適切な値を使用して mmsghdr.msg_namelen を初期化します + EpollIP_RECVORIGDSTADDR のサポートを修正します + AdaptivePoolingAllocatortinyAccessible() の呼び出しをcapability(int) メソッドで呼び出しを削除します + EpollsetTcpMg5Sig(...) がオーバーフローする可能性があります + JdkZlibDecoderchannelRead を起動する前に展開された出力を蓄積します+ HTTP2 ヘッダーあたりの継続フレーム数を制限bsc#1261043、 CVE-2026-33871] + Strict HTTP/1.1 チャンク拡張解析bsc#1261031、 CVE-2026-33870] + rediff
- Upstream バージョン へアップグレード 4.1.131 + NioDatagramChannel.block(...) は失敗時に早期に戻りません + AWS LibcryptoAWS-LCのサポート netty-tcnative ビルド + codec-dnsDNS 記録中の MX RDATA 交換ドメイン名を展開デコード + アダプティブアロケーターの大きなバッファのバディ割り当て + SslHandlerEventLoop がまだシャットダウンしていない場合、EventLoop でのみ再開 + UDP 用の PortUnreachableException で ECONNREFUSED をラップ + com.ning:compress-lzf を含める4.1+ からのアダプティブアロケーターのバグを修正失敗した割り当てを通知しない + 元の読み取りの例外をルーチンしないようにする + 複数のアロケーターの変更をバックポートする
- バージョン にアップグレードしてください 4.1.130
- バージョン 2.0.75 最終へのアップグレード
* 正式な変更ログは存在しません
* netty >= が必要 4.2.11
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける netty、netty-javadoc、netty-tcnative、および/または netty-tcnative-javadoc パッケージを更新してください。参考資料
https://bugzilla.suse.com/1261031
https://bugzilla.suse.com/1261043
https://lists.suse.com/pipermail/sle-updates/2026-April/045563.html
プラグインの詳細
深刻度: High
ID: 306709
ファイル名: suse_SU-2026-1353-1.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2026/4/16
更新日: 2026/4/16
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 6.1
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS スコアのソース: CVE-2026-33871
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.7
Threat Score: 7.7
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
脆弱性情報
CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:netty-tcnative, p-cpe:/a:novell:suse_linux:netty-javadoc, p-cpe:/a:novell:suse_linux:netty
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/4/15
脆弱性公開日: 2026/3/26
参照情報
CVE: CVE-2026-33870, CVE-2026-33871
SuSE: SUSE-SU-2026:1353-1