SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新: python-cryptography、python-cryptography-vectors (SUSE-SU-2022:4044-1)

high Nessus プラグイン ID 167941

Language:

概要

リモートの SUSE ホストにセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLES15 / openSUSE 15 ホストには、SUSE-SU-2022:4044-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

- python-cryptography 2.3 以降 1.9.0 より前のバージョンに欠陥が見つかりました。finalize_with_tag APIでは、最小タグ長が強制的に適用されませんでした。ユーザーが入力をfinalize_with_tagに渡す前にその長さを検証しない場合、攻撃者が、MACチェックをパスする可能性が256分の1になるように、短縮タグ（1バイトなど）を使って無効なペイロードを細工する可能性があります。GCM タグの偽造により、鍵の漏洩が引き起こされる可能性があります。
(CVE-2018-10903)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受ける python2-cryptography、python2-cryptography-vectors、python3-cryptography および/または python3-cryptography-vectors パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1101820

https://bugzilla.suse.com/1149792

https://bugzilla.suse.com/1176785

https://bugzilla.suse.com/1177083

https://www.suse.com/security/cve/CVE-2018-10903

http://www.nessus.org/u?2a5e0897

プラグインの詳細

深刻度: High

ID: 167941

ファイル名: suse_SU-2022-4044-1.nasl

バージョン: 1.8

タイプ: Local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2022/11/19

更新日: 2026/6/26

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, tenable_cloud_security, tenable_self_hosted_container_security, Nessus