検出

SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新 : Java (SUSE-SU-2024:1874-1)

high Nessus プラグイン ID 198282

Language:

概要

リモートの SUSE ホストにセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:1874-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 この Java 更新では、次の問題が修正されています。

 apiguardian がバージョン 1.1.2 に更新されました。

 - 生成された jar に LICENSE/NOTICE を追加しました
 - @API をパッケージレベルで宣言できるようにします
 - Status.DEPRECATED の使用方法を説明します
 - マニフェストに OSGi メタデータを含めます

 assertj-core はバージョン 3.25.3 で実装されました。

 - Junit5 が必要とする新しいパッケージ実装

 byte-buddy がバージョン v1.14.16 に更新されました。

 - 「byte-buddy」は「assertj-core」で必要です
 - バージョン v1.14.16 の変更点:

* ASM を更新し、Java 23 のサポートを導入します。

 - バージョン v1.14.15 の変更点:

* J9 で root からアタッチできるようにします。

 - v1.14.14 の変更点:

* 型の検証を調整し、クラスファイル形式で正当な追加の名前を受け入れるようにします。
 * サービスユーザーがアクティブな場合の Windows の動的アタッチを修正します。
 * Android の strict モードを使用する際のエラーを回避します。

 dom4j がバージョン 2.1.4 に更新されました。

 - 改善および潜在的な最新の変更:

* 新しいファクトリメソッド org.dom4j.io.SAXReader.createDefault() を追加しました。これは、システム XMLReaderFactory.createXMLReader() または SAXParserFactory.newInstance().newSAXParser() を使用する新しい SAXReader() よりも安全なデフォルトを備えています。
 * dom4j の任意の依存関係 (Jaxen、xsdlib など) を使用する場合は、プロジェクトで明示的な依存関係を指定する必要があります。dom4j によって必須の推移的な依存関係としてマークされなくなりました。
 * 次の SAX パーサー機能は、セキュリティ上の理由から DocumentHelper.parse() においてデフォルトで無効になっています (以前のバージョンでは有効でした):

+ http://xml.org/sax/properties/external-general-entities+ http://xml.org/sax/properties/external-parameter-entities

 - その他の変更:

* jtidy はビルド中に使用されないため、jtidy に依存しません
 * Plexus のライセンスを修正しました
 * JPMS: Automatic-Module-Name 属性をマニフェストに追加します。
 * 「jaxen」および完全な「dom4j」を構築するために使用される最小限の「dom4j-bootstrap」パッケージ用に、別のフレーバーを作成します
 * pull-parser のバージョンを更新しました
 * writeAttributes の writeAttribute メソッドを再利用します
 * デフォルト文字セットとして UTF8 以外を使用する OS でのビルドをサポートします
 * Gradle: 自動モジュール名を追加します
 * 正しいライセンス名「Plexus」を使用します
 * XML インジェクションに対する DocumentHelper.parseText() の潜在的な脆弱性
 * ソースツリーに残っている CVS ディレクトリ
 * XMLWriter が補助 unicode 文字を正しくエスケープしません
 * writer.writeOpen(x) は名前空間を書き込みません
 * QNameCache の並行性問題を修正しました
 *すべての依存関係はオプションです
 * SAXReader: ハードコードされた名前空間機能
 * QName の検証
 * XMLWriter.writeElementContent() の StringIndexOutOfBoundsException
 * TreeNode は一部のジェネリックを成長させました
 * QName のシリアル化の修正
 * ネスト化された例外による DocumentException の初期化
 * マルチスレッドテストで偶発的にエラーが発生
 * W3C DOM Level 3 との互換性を追加します
 * Java generics を使用します

 hamcrest:

- 「hamcrest-core」は「hamcrest」に置き換えられました (ソース変更なし)

 junit には以下の変更があります:。

 - hamcrest >= 2.2 が必要

junit5 がバージョン 5.10.2 に更新されました。

 - OS アーキテクチャに基づく条件付き実行
 - @TempDir の設定可能なクリーンアップモード
 - @Timeout の設定可能なスレッドモード
 - クラス/メソッドセレクター、@MethodSource、@EnabledIf、@DisabledIf に対するカスタムクラスローダーのサポート
 - テスト実行用のドライランモード
 - @RepeatedTest の失敗しきい値
 - 最新の open-test-reporting マイルストーンでビルドを修正しました
 - module-info.java ファイルの依存関係を修正しました
 - JDK 21 で致命的な報告されていない例外エラーを修正しました
 - パラレル実行の設定可能性の改善
 - テスト @Suite クラスでの新しい @SelectMethod のサポート。
 - 実行せずにテスト検出を行うための、新しい ConsoleLauncher サブコマンド
 - ArgumentsProvider および ArgumentConverter を実装するための新しい便利な基本クラス
 - 新しい IterationSelector
 - 新しい LauncherInterceptor SPI
 - サードパーティのテストエンジンで使用するための新しい NamespacedHierarchicalStore
 - 一時ディレクトリの作成方法をカスタマイズするための新しい TempDirFactory SPI
 - ConsoleLauncher 用の新しい testfeed 詳細モード
 - 新しい TestInstancePreConstructCallback 拡張 API
 - 多くのバグ修正とマイナーな改善
 - @MethodSource メソッドのパラメーターインジェクション
 - 安定版に対するさまざまな実験的 API のプロモーション
 - ExecutableInvoker によるカスタム拡張メソッドの再利用可能なパラメーター解決
 - 内部 JUnit 呼び出しを隠すためのスタックトレースプルーニング
 - バイナリは java 1.8 と互換性があります
- ConsoleLauncher に対するさまざまな改善
 - 新しい Open Test Reporting 形式の XML レポート

 jdom:

 - 修正されたセキュリティ問題:

* CVE-2021-33813: 2.0.6 までの JDOM の SAXBuilder での XXE 問題により、攻撃者は細工された HTTP リクエストを介してサービス拒否を引き起こす可能性があります (bsc#1187446)

 - 修正されたその他の変更とバグ:

* 変更ログの誤ったエントリを修正しました (bsc#1224410)
 * パッケージ「jaxen」、「saxpath」、および「xom」は現在、「jdom」の一部ではなく、別のスタンドアロンパッケージになりました

 jaxen はバージョン 2.0.0 で実装されました。

 - 新しいスタンドアロン RPM パッケージの実装は、元々「jdom」ソースパッケージの一部でした
 - クラスパスははるかに小さく複雑ではないため、静的分析ツールからの大量のノイズを抑制します。
 - Jaxen コアコードも若干小さくなり、XPath 評価におけるいくつかのマイナーなバグを修正しました。
 - 主要なバージョン更新にもかかわらず、これはほぼすべてのプロジェクトのドロップイン置換であるはずです。
 考えられる主な非互換性は次の 2 つです。

 * サポートされる Java の最小バージョンは、現在 1.5です。1.2.0 の 1.4 および 1.1.6 の 1.3 以降です。
 * dom4j、XOM、および JDOM は現在、オプションの依存関係になりました。そのため、推移的にロードするためにプロジェクトが依存している場合は、ビルドに明示的な依存関係を追加する必要があります

 jopt-simple:

- Package Hub 15 SP5 への jopt-simple が含まれます (ソース変更なし)

 objectweb-asm はバージョン 9.7 に更新されました。

 - Java 23 用の新しい Opcodes.V23 定数
 - 修正されたバグ
 * dex2jar の単体テストの回帰を修正しました。
 * 不適切な JavaDocs を持つ「ClassNode#outerClass」を修正しました。
 * asm-bom パッケージングは「pom」である必要があります。
 * Textifier は、少なくとも 1 つの例外をスローする各メソッドの末尾に補助スペースを印刷します。


 open-test-reporting:

- Junit5 のランタイム依存関係 (ソース変更なし) であるため、「open-test-reporting-events」および「open-test-reporting-schema」をチャネルに含めました

 saxpath はバージョン 1.0 FCS で実装されました。

 - 新しいスタンドアロン RPM パッケージの実装は、元々「jdom」ソースパッケージの一部でした (openSUSE Leap 15.5 パッケージのみ)

 xom はバージョン 1.3.9 で実装されました。

 - 新しいスタンドアロン RPM パッケージの実装は、元々「jdom」ソースパッケージの一部でした
 - Nodes および Elements クラスは反復可能であるため、これらのクラスのインスタンスで強化された for ループ構文を使用できます。
 - copy() メソッドは現在、共変です。
 - Automatic-Moduole-Name を jar に追加します
 - xml-apis:xml-apis アーティファクトへの直接の依存関係を削除します。これは、これらのクラスがコアランタイムで現在利用可能であるためです。
 - XOM を JDK 16 と互換性を持たせるために、com.sun クラスの使用を排除します。
 - パフォーマンスをわずかに改善するために、StringBuffer の残りの使用箇所を StringBuilder に置き換えます。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1187446

https://bugzilla.suse.com/1224410

https://lists.suse.com/pipermail/sle-updates/2024-May/035436.html

https://www.suse.com/security/cve/CVE-2021-33813

プラグインの詳細

深刻度: High

ID: 198282

ファイル名: suse_SU-2024-1874-1.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2024/6/1

更新日: 2024/6/5

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2021-33813

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:jdom, p-cpe:/a:novell:suse_linux:byte-buddy, p-cpe:/a:novell:suse_linux:assertj-core, p-cpe:/a:novell:suse_linux:open-test-reporting-events, p-cpe:/a:novell:suse_linux:objectweb-asm, p-cpe:/a:novell:suse_linux:junit, p-cpe:/a:novell:suse_linux:junit5-minimal, p-cpe:/a:novell:suse_linux:dom4j, p-cpe:/a:novell:suse_linux:xom, p-cpe:/a:novell:suse_linux:hamcrest, p-cpe:/a:novell:suse_linux:jopt-simple, p-cpe:/a:novell:suse_linux:apiguardian, p-cpe:/a:novell:suse_linux:jaxen, p-cpe:/a:novell:suse_linux:open-test-reporting-schema, p-cpe:/a:novell:suse_linux:junit5, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/5/31

脆弱性公開日: 2021/6/16

参照情報

CVE: CVE-2021-33813

SuSE: SUSE-SU-2024:1874-1