検出

SUSE SLED15/ SLES15/ openSUSE 15 セキュリティ更新: liboqs、oqs-provider (SUSE-SU-2025:0005-1)

high Nessus プラグイン ID 213486

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:0005-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 この更新では、新しい FIPS で標準化された ML-KEM、ML-DSA、SHL-DSA アルゴリズムが提供されます。

 これは、liboqs を 0.12.0 に更新します

 - このリリースは、ML-DSA 実装を [最終 FIPS 204] (https://csrc.nist.gov/pubs/fips/204/final) バージョンに更新します。このリリースには、相互運用性を確保するために Dilithium の NIST Round 3 バージョンが引き続き含まれていますが、今後のリリースでは Dilithium Round 3 が削除される予定です。
 - これは、Kyber (つまり、NIST によって FIPS 203 の ML-KEM として標準化される前の、NIST ラウンド 3 バージョンの Kyber) を含む liboqs の最終リリースになります。アプリケーションを ML-KEM (FIPS 203) に切り替える必要があります。
 - ML-DSA FIPS 204 最終バージョンの liboqs への追加により、コンテキスト文字列パラメーターを含む新しい署名 API が導入されました。次のリリースでは、コンテキスト文字列のない古いバージョンの API を削除し、API を合理化し、NIST 仕様に合わせる予定です。この削除についてご意見があるユーザーは、https://github.com/open-quantum-safe/liboqs/issues/2001 までご意見をお寄せください。

 セキュリティ問題:

 - CVE-2024-54137: 無効な暗号文で呼び出された場合に、カプセル化解除中に共有秘密値が誤った値になる HQC カプセル化解除のバグを修正しました。(bsc#1234292)
 - 新しいライブラリのメジャーバージョン 7

 0.11.0 に更新しました

 * このリリースでは、ML-KEM 実装を最終の FIPS 203 https://csrc.nist.gov/pubs/fips/203/final バージョンに更新します。
 * このリリースには、相互運用性を確保するために Kyber の NIST Round 3 バージョンが引き続き含まれていますが、今後のリリースでは Kyber Round 3 が削除される予定です。
 * さらに、このリリースでは、ステートフルハッシュベースの署名スキーム XMSS https://datatracker.ietf.org/doc/html/rfc8391 および LMS https://datatracker.ietf.org/doc/html/rfc8554.* による [NIST 追加署名ラウンド 1] https://csrc.nist.gov/Projects/pqc-dig-sig/round-1-additional-signaturesalong からの MAYO および CROSS デジタル署名スキームのサポートを追加します。libjade からの Kyber-768 と Kyber-768 https://github.com/formosa-crypto/libjade/releases/tag/release%2F2023.05-2* LMS および XMSS は、ソフトウェアでの使用に関連するセキュリティリスクのため、デフォルトで無効になっています。
 CONFIGURE.md のステートフルハッシュベース署名に関する注記を参照してください
 * 主要なカプセル化メカニズム:
 - Kyber: libjade からの、Kyber-512 および Kyber-768 の正式に検証されたポータブル C および AVX2 実装が追加。
 - ML-KEM: ML-KEM-512、ML-KEM-768、ML-KEM-1024 のポータブルな C と AVX2 の実装を FIP 203 バージョンに更新。
 - Kyber: AddressSanitizer で動作するように、Kyber-512、Kyber-768、および Kyber-1024 の実装にパッチ ARM64 を適用。
 * デジタル署名スキーム:
 - LMS/XMSS: ステートフルハッシュベースの署名スキームの実装を追加: XMSS および LMS
 - MAYO: NIST 追加署名ラウンド 1 からの MAYO 署名スキームのポータブルな C および AVX2 の実装を追加。
 - CROSS: NIST 追加署名ラウンド 1 からの CROSS 署名スキームのポータブルな C および AVX2 の実装を追加。
 * その他の変更:
 - AES、SHA2、および SHA3 のカスタム実装を使用するためにコールバック API を追加。
 - OpenSSL の EVP_DigestSqueeze() API を使用するように SHA3 実装をリファクタリングする。

 - 新しいライブラリのメジャーバージョン 6

 0.10.1 に更新しました

 - このリリースは、ML-KEM および Kyber における潜在的な非定数時間動作を修正するセキュリティリリースです。(bsc#1226162 CVE-2024-36405) また、ML-DSA 実装における誤った名前のマクロの修正も含まれています。

 0.10.0 に更新しました

 主要なカプセル化メカニズム:

 - BIKE: upstream からの定数時間修正を含むようにポータブル C 実装を更新。
 - HQC: NIST Round 4 バージョンに更新。
 - ML-KEM: ML-KEM-512、ML-KEM-768、および ML-KEM-1024 の初期公開ドラフト (IPD) バージョンのポータブル C および AVX2 実装を追加。

 デジタル署名スキーム:

 - Falcon: 固定長 (PADDED 形式) 署名をサポートするために、ポータブル C、AVX2、および AArch64 実装を更新。NIST ラウンド 3 仕様に準拠するように可変長署名の最大長を修正。
 - ML-DSA: ML-DSA-44、ML-DSA-65、ML-DSA-87 の初期公開ドラフト (IPD) バージョンのポータブル C および AVX2 実装を追加。


Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1226162

https://bugzilla.suse.com/1226468

https://bugzilla.suse.com/1234292

http://www.nessus.org/u?8cb7ef38

https://www.suse.com/security/cve/CVE-2024-36405

https://www.suse.com/security/cve/CVE-2024-37305

https://www.suse.com/security/cve/CVE-2024-54137

プラグインの詳細

深刻度: High

ID: 213486

ファイル名: suse_SU-2025-0005-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/1/4

更新日: 2025/1/4

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: High

基本値: 8.5

現状値: 6.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:C

CVSS スコアのソース: CVE-2024-37305

CVSS v3

リスクファクター: High

基本値: 8.2

現状値: 7.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:oqs-provider, p-cpe:/a:novell:suse_linux:liboqs7, p-cpe:/a:novell:suse_linux:liboqs-devel, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/1/2

脆弱性公開日: 2024/6/10

参照情報

CVE: CVE-2024-36405, CVE-2024-37305, CVE-2024-54137

SuSE: SUSE-SU-2025:0005-1