検出

SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新: mockito、snokeyaml、testng (SUSE-SU-2024:2568-1)

high Nessus プラグイン ID 203007

Language:

概要

リモートの SUSE ホストにセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:2568-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 patches はバージョン 5.11.0 に更新されました:

 - バンドルマニフェストを mockito-core アーティファクトに追加しました
 - Mockito 5 は、将来の JDK バージョンとの互換性を確保するため、コアを変更しています。
 - Default MockMaker を mockito-inline に切り替えます (mockito-android には適用できません)

 * Mockito 2.7.6 は、「inline bytecode」原則に基づいて mockito-inline mokerker を導入し、サブクラス Mockmaker よりも優れた互換性を提供
 * この変更により、モジュール境界の違反やサブクラス作成の漏洩などの JDK 制限が回避されます

 - サブクラス mocketmaker の正当なユースケース

 * Graal VM のネイティブイメージなど、インライン mockmaker が機能しないシナリオ
 * JDK 17+ で問題が発生する可能性がありますが、最終クラスのモッキングを回避する場合、サブクラス mockmaker も実行可能なオプションです
 * Mockito は、ユーザーがその要件に基づいて選択できるように、両方の mockmaker をサポートすることを目的としています。

 - サポートされる Java の最小バージョンを 11 に更新

 * Mockito 5 はサポートされる Java の最小バージョンを 11 に引き上げました
 * コミュニティメンバーの @reta がこの変更に貢献しました。
 * まだ JDK 8 を使用しているユーザーは、バージョン間の API の違いを最小限に抑えながら、Mockito 4 を引き続き使用できます

 - ArgumentMatcher の新しい type() メソッド

 * ArgumentMatcher インターフェースには、以前の制限に対処しながら varargs メソッドをサポートするための新しい type() メソッドが含まれるようになりました
 * ユーザーは、任意の数の引数を持つ該当する呼び出しを引数の正確な数と区別したり、任意の数の引数を一致させたりできるようになりました
 * Mockito 5 は、下位互換性を確保するために、新しいメソッドのデフォルト実装を提供。
 * ユーザーは新しいメソッドを実装する義務はありません。Mockito 5 では、varargs の処理にデフォルトで Void.type が考慮されます
 * ArgumentCaptor が完全に型を認識するようになり、ジェネリックメソッドの特定のサブクラスでキャプチャが可能になりました。

 - byte-buddy は asm をバンドルしませんが、objectweb-asm を外部ライブラリとして使用

 snake-yaml がバージョン 2.2 に更新されました:

 - バージョン 2.2 の変更:

 * デフォルトのスカラースタイルを PLAIN として定義 (polyglot Maven 用)
 * module-info.java に欠落している「exports org.yaml.snakeyaml.inspector」を追加

 - バージョン 2.1 の変更:

 * Regex Overhead による Emutter.analyzeScalar(String) での大量の割り当て
 * OutOfMemoryError を回避するためにシーケンスの toString() で ID を使用
 * 破損した YAML バージョンの int オーバーフローによる SnakeYAML からの NumberFormatException
 * ドキュメントサイズの制限は、入力ストリーム全体ではなく、単一のドキュメントに適用する必要があります
 * 無効な Unicode コードポイントを検出 (Tatu Saloramba 氏による)
 * Trusted*Inspector クラスをメインソースツリーから削除

 - バージョン 2.0 の変更:

 * Java 7 ターゲットへのロールバック
 * module-info.java を追加
 * Java 8 に移行
 * 多くの非推奨のコンストラクターを削除
 * FlowStyle で長く廃止されたメソッドを削除
 * デフォルトでグローバルタグを許可しません
 * Class<T> ではなく、Class<? super T> タイプをサポートするための Yaml.LoadAs() 署名
 * CustomClassLoaderConstructor は LoaderOptions を受け取ります
 * null 以外の値の入力パラメーターをチェック

 testng がバージョン 7.10.1 に更新されました:

 - 修正されたセキュリティ問題:

 * CVE-2022-4065: Zip Slip の脆弱性を修正しました (bsc#1205628)

 - バージョン 7.10.1 の変更:

 * junit5 で maven ビルドを修正しました

 - バージョン 7.10.0 の変更:

 * マイナーな不一致の修正
 * TestNG eclipse プラグイン固有クラスの削除
 * TestNG で廃止された JUnit 関連のサポートを削除
 * 電子メールで送信可能な Reporter の例外を処理
 *wrapperbot を追加し、ワークフローの順序を更新
 * ITestNGFactory カスタマイズをサポート
 * データプロバイダーのリスナー呼び出しを合理化しました
 * 並行性の Guice モジュール作成を合理化しました。
 * 予期しないエラーが発生したときにテスト結果の属性をコピー
 * chore: refreshVersions の代わりに明示的な依存関係バージョンを使用
 * Ant を削除しました
 * リスナーの順序付けをサポート
 * errorprone を追加しました
 * カスタムスレッドプール executor を接続できるようにする。
 * データプロバイダーをキャッシュ不可にできるようにする
 * Synchronized キーワードの代わりに Locks を使用
 * pgp アーティファクト署名キーを文書化
 * すべてのテストクラスインスタンスに Unique Id を追加しました
 * 問題管理ワークフローを追加しました
 * 設定へのオブジェクトのマッピング
 * リスナーをランタイムで無効にできるようにする
 * データプロバイダーの実行を合理化しました
 * リスナーファクトリの解析時に継承を反映
 * SuiteResult へのアクセス関連を調整
 * ランダム生成を合理化しました
 * 設定の依存関係を合理化しました

 - バージョン 7.9.0 の変更:

 * null を含むマップが誤って等しいと見なされる可能性がある問題を修正しました
 * 失敗した実行のアーティファクトとしてのテスト結果
 * データ競合を修正しました
 * suite-file タグで指定されたパラメーターを反映しません
 * SuiteRunner と TestRunner を分離
 * BeforeSuite メソッドのネイティブ DI を無効にする
 * Parallel Dataproviders+retries の実行を合理化しました
 * Configuration.createMethods() のログから余分な空白を削除しました
 * TestNG Documentation の GitHub Repo へのリンクを README.md に追加しました
 * FirstTimeOnlyConfig メソッド + Listener 呼び出し
 * overrideGroupsFromCliInParentChildXml テストを追加しました
 * 属性アクセスに対してスレッドの安全性を確保
 * Listeners 注釈に @inherited を追加しました
 * グループの継承を Before|AfterGroups に制限
 * @AfterMethod に注入された ITestResult が適切であることを確認
 * データプロバイダーのスイートレベルのスレッドプールをサポート
 * PoolService ではなく CompletableFuture を優先
 * 同時サポートのために FutureTask を優先
 * 通常/データ駆動型テストのスレッドプールを共有しました。
 * 無効な組み合わせによる中止

 - バージョン 7.8.0 の変更:

 * [機能] スイートファイルで、特定のテスト名のすべてではなく一部が見つからない場合、例外ではなく警告です。
 * [機能] テストパッケージごとに testng-results.xml を生成
 * [機能] テストクラスがクラスレベルで「configfailurepolicy」を定義できるようにする
 * YAML で呼び出されたテストパッケージに XmlTest インデックスが設定されていません
 * @afterclass 設定メソッドが実行される前に、リスナーの onAfterClass が呼び出されます。
 * TestNG 7.5.0 へのアップグレード後、ITestResult.status を FAILURE に設定してもテストは失敗しなくなります
 * JUnitReportReporter は、テストケースレベルでテストケース出力をキャプチャする必要があります
 * TestNG.xml はクローンの Parallel 値を反映しません
 * beforeMethod が「skip」の場合、設定前および呼び出し前は「SKIP」になる必要があります
 *親の testng.xml ファイルで指定されたテストリスナーが、testng-failed.xml ファイルに含まれていません
 * DataProvider と失敗したテストの Retry の不一致
 * DataProvider でスキップされたテストが失敗と表示されます
 * testng-results xml で、基本クラスからの設定のスキップが無視されたと報告されます
 * Feature: リストに存在する特定のオブジェクトをチェック
 * spoolyaml を 2.0 にアップグレードしました

- バージョン 7.7.1 の変更:

 * Groovy 用のオーバーロードされたアサーションメソッドを合理化

 - バージョン 7.7.0 の変更:

 * FindBugs を SpotBugs で置換
 * Gradle: forUseAtConfigurationTime() をドロップ
 * assertThrows\expectThrows メソッドにカスタムメッセージを提供する機能を追加しました
 * ホスト名は 1 回のみ解決
 * グラフ実装でのデバッグメッセージのオーバーログを防ぎます
 * 抽象クラスでの dataprovider の呼び出しを合理化しました
 * expectedExceptions により TestResult を合理化しました
 * 再試行アナライザーで予期しないテスト実行がカウントされます
 * PackageUtils を JPMS に準拠させます
 * エラー時にデータプロバイダーを再試行する機能
 * DataProvider 再試行のバグを修正
 * コールバックの不一致の動作に設定キーを追加しました
 * コピーでの FileAlreadyExistsException エラーを修正しました
 * JarFileUtils.delete(File f) は、ファイルを削除できないときに、FileNotFound ではなく実際の例外をスロー #2825
 * osgitest のアサーションメッセージの変更
 * マトリクスの強化
 * Semeru JDK フレーバーでコンパイルエラーを回避。
 * yml 拡張を追加
 * テストの依存関係情報の取得をサポート
 * dependsOnMethods の正規表現を遵守
 * すべてのテストが常に実行されるようにする
 * Spock Tests を実行するためのサポートを廃止
 * 設定の dependsOnMethods を合理化
 * ITestContext を JUnit4 テストで使用できるようにする
 * JUnit テストを実行するためのサポートを廃止
 * 7.6.1 の変更
* 親ディレクトリが作成されるように Files.copy() を修正
 * 廃止されたユーティリティメソッドを削除

 - バージョン 7.6.0 の変更:

 * 冗長な Parameter 実装を削除
 * JDK11 にアップグレードしました
 * SimpleBaseTest を Kotlin ベースになるよう移動
 * スイート内で複数のスイートを使用する際に、テスト名を復元。
 * ClassHelperTests の Kotlin への移動
 * IHookable と IConfigurable のコールバックの不一致
 * マイナーなリファクタリング
 * assertEqualsNoOrder の追加条件を追加
 * スキップされた設定に対しても、beforeConfiguration() リスナーメソッドを呼び出す必要があります
 * リスナーの初期順序を維持
 * SuiteRunner は、デフォルト設定では初期化できない可能性があります
 * Dataprovider の障害を考慮できるようにする。
 * BeforeGroups は一致するテストの前に実行する必要があります
 * XmlReporter の StringIndexOutOfBoundsException 例外を修正しました
 * DataProvider: 終了時に dataprovider クラスをアンロードする可能性
 * すべてのテストの前に AfterGroups メソッドが呼び出される可能性を修正しました
 * WrappedTestNGMethod の equals 実装を修正しました
 * リスナーの一貫したワイヤーイン
 * AfterClass 呼び出しを合理化
 * テストの FQMN をコンソールで表示
 * TestNG デフォルトレポートのカスタム属性値を遵守

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1205628

https://www.suse.com/security/cve/CVE-2022-4065

http://www.nessus.org/u?5183dc95

プラグインの詳細

深刻度: High

ID: 203007

ファイル名: suse_SU-2024-2568-1.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2024/7/23

更新日: 2024/7/26

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2022-4065

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:snakeyaml, p-cpe:/a:novell:suse_linux:testng, p-cpe:/a:novell:suse_linux:mockito

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/7/22

脆弱性公開日: 2022/11/19

参照情報

CVE: CVE-2022-4065

SuSE: SUSE-SU-2024:2568-1