検出

SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新 : Java (SUSE-SU-2024:0726-1)

medium Nessus プラグイン ID 191447

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:0726-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - Apache Commons Compress の到達不能終了状態のあるループ (「無限ループ」) の脆弱性。この問題は、Apache Commons Compress: 1.3 から 1.25.0 に影響します。ユーザーには、この問題を修正したバージョンであるバージョン 1.26.0 へのアップグレードをお勧めします。(CVE-2024-25710)

 - Apache Commons Compress の制限またはスロットリングなしのリソース割り当ての脆弱性。この問題は、Apache Commons Compress: 1.21 から 1.26 に影響します。ユーザーには、この問題を修正したバージョンであるバージョン 1.26 へのアップグレードをお勧めします。(CVE-2024-26308)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1220068

https://bugzilla.suse.com/1220070

http://www.nessus.org/u?284eee1d

https://www.suse.com/security/cve/CVE-2024-25710

https://www.suse.com/security/cve/CVE-2024-26308

プラグインの詳細

深刻度: Medium

ID: 191447

ファイル名: suse_SU-2024-0726-1.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

公開日: 2024/3/1

更新日: 2024/3/1

サポートされているセンサー: Nessus Agent, Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.9

現状値: 3.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2024-26308

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 4.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:xmvn-core, p-cpe:/a:novell:suse_linux:maven-resolver-transport-http, p-cpe:/a:novell:suse_linux:sbt-bootstrap, p-cpe:/a:novell:suse_linux:xmvn-subst, p-cpe:/a:novell:suse_linux:maven, p-cpe:/a:novell:suse_linux:maven-doxia-module-xdoc, p-cpe:/a:novell:suse_linux:maven-lib, p-cpe:/a:novell:suse_linux:maven-doxia-core, p-cpe:/a:novell:suse_linux:maven-doxia-module-fo, p-cpe:/a:novell:suse_linux:maven-resources-plugin, p-cpe:/a:novell:suse_linux:xmvn-api, p-cpe:/a:novell:suse_linux:maven-doxia-sitetools, p-cpe:/a:novell:suse_linux:maven-reporting-api, p-cpe:/a:novell:suse_linux:apache-commons-compress, p-cpe:/a:novell:suse_linux:apache-commons-io, p-cpe:/a:novell:suse_linux:maven-resolver-spi, p-cpe:/a:novell:suse_linux:maven-resolver-transport-wagon, p-cpe:/a:novell:suse_linux:gradle-local, p-cpe:/a:novell:suse_linux:maven-doxia-module-apt, p-cpe:/a:novell:suse_linux:maven-doxia-module-xhtml5, p-cpe:/a:novell:suse_linux:maven-doxia-sink-api, p-cpe:/a:novell:suse_linux:apache-commons-codec, p-cpe:/a:novell:suse_linux:maven-doxia-module-xhtml, p-cpe:/a:novell:suse_linux:maven-local, p-cpe:/a:novell:suse_linux:maven-resolver-util, p-cpe:/a:novell:suse_linux:maven-resolver-impl, p-cpe:/a:novell:suse_linux:xmvn-minimal, p-cpe:/a:novell:suse_linux:xmvn-connector, p-cpe:/a:novell:suse_linux:maven-doxia-logging-api, p-cpe:/a:novell:suse_linux:maven-jar-plugin, p-cpe:/a:novell:suse_linux:maven-resolver-api, p-cpe:/a:novell:suse_linux:maven-resolver-connector-basic, p-cpe:/a:novell:suse_linux:xmvn-install, p-cpe:/a:novell:suse_linux:apache-commons-configuration2, p-cpe:/a:novell:suse_linux:xmvn, p-cpe:/a:novell:suse_linux:xmvn-resolve, p-cpe:/a:novell:suse_linux:maven-resolver-named-locks, p-cpe:/a:novell:suse_linux:maven-resolver-transport-file, p-cpe:/a:novell:suse_linux:xmvn-mojo, p-cpe:/a:novell:suse_linux:ivy-local, p-cpe:/a:novell:suse_linux:maven-doxia-module-fml, p-cpe:/a:novell:suse_linux:maven-javadoc-plugin, p-cpe:/a:novell:suse_linux:sbt, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/2/29

脆弱性公開日: 2024/2/19

参照情報

CVE: CVE-2024-25710, CVE-2024-26308

SuSE: SUSE-SU-2024:0726-1