検出

openSUSE 15 セキュリティ更新: gh (openSUSE-SU-2025:0021-1)

critical Nessus プラグイン ID 214507

Language:

概要

リモートの openSUSE ホストに、セキュリティ更新プログラムがありません。

説明

リモートの openSUSE 15 ホストにインストールされているパッケージは、openSUSE- SU-2025:0021-1 のアドバイザリに記載されている脆弱性の影響を受けます。

 - バージョン 2.65.0 への更新:
 * 間接的なセキュリティの脆弱性に対する cli/go-gh の更新
 * 形式が正しくない場合、mustParseTrackingRef はパニックに陥る
 * trackingRef を pr 作成パッケージに移動
 * tryDetermineTrackingRef テストをより現実に即したものにする
 * tryDetermineTrackingRef テストをやり直す
 * defineTrackingBranch からのポインターリターンを回避
 * Doc determineTrackingBranch
 * decodeTrackingBranch branchConfig にポインターを使用しない
 * 追跡参照を再構築できない場合のパニック
 * 追跡ブランチ検索の作成を文書化し、pr を修正
 * 生成されたワークフローのアップグレード
 * repo fork の非 tty ユースケースの stdout のテストを修正
 * テストを修正
 * 別の方法: BranchConfig から LocalBranch を削除
 * git 設定が失敗した場合でも LocalBranch を設定
 * セキュリティおよび分析編集に対する権限チェックのテストを追加 (#1)
 * stdout に repo url を出力
 * pkg/cmd/auth/login/login.go を更新
 * 従来のトークンに関する言及を正しい行に移動
 *セパレートタイプのデクラレーション
 * gh 認証ログインドキュメントに従来のトークンの言及を追加
 * pkg/cmd/repo/create/create.go を更新
 * docs(repo): repo の作成時に使用するブランチを明確化
 * 修正 (repo fork): フォークが新しく作成されたときに非 TTY 出力を追加
 * api 呼び出しを editRun に移動
 * 完全な get -> list の名前変更
 * autolink TestListRun のエラーテストを改善
 * アンマーシャルの代わりにデコード
 * 自動リンクリストのタイプとメソッドに「get」ではなく「list」を使用
 * NewAutolinkClient を削除
 * autolink リスト json フィールドのテストを分割
 * PR nits
 * autolink サブコマンドを独自のパッケージにリファクタリング
 * 空白
 * テストコードの早期リターンをリファクタリング
 * AutoLinkGetter のテストを追加
 * 自動リンクリストをリファクタリングし、テストを簡素化するために http インターフェースを使用するようにする
 * PR コメントの変更を適用
 * repo autolinks list コマンドを導入
 * リリースディスカッションの投稿を削除し、デプロイメント yml の関連ブロックをクリーンアップする
 * ロジックをヘルパー関数に抽出
 * ワークフロー実行の保留ステータスを追加
 * 機能: gh リポジトリ編集で security_and_analysis 設定をできるようにする
 * golang.org/x/net を v0.33.0 にアップグレードする
 * ドキュメント SmartBaseRepoFunc
 * ドキュメント BaseRepoFunc
 * releases.md を更新
 * gh-merge-base の設定方法を文書化

 - バージョン 2.64.0 への更新:
 * 異なる SAN および SourceRepositoryURI の値に対するテストを追加
 * signerRepo とテナントのテストを追加
 * san、sanregex が適切に設定されていることをテストするためにいくつかのフィールドを追加
 * github.com/cpuguy83/go-md2man/v2 を 2.0.5 から 2.0.6 に更新
 * 読みやすくするために san および sanregex の設定を更新
 * ポリシーコンテンツ作成時の重複を削減
 * ビルドポリシー情報の出力を調整
 * PR finder で条件に名前を付ける
 * 組織内フォークの pr ビューをサポート
 * マージキューチェックで silentError の代わりに err を返します
 * linting が、この var はもはや使用されないことを指摘しました
 * fun を削除しましたが、アクセス不能な ASCII ヘッダー
 * 長い説明文をさらに調整
 *「-d」でマージを終了し、キューをマージする
 * PR レビューのフィードバックに対処しました。長いコマンドのヘルプ文字列を拡張し、ghrepo を使用し、一部の略語を明確化
 * pkg/cmd/attestation/inspect/inspect.go を更新
 * gh auth コマンドが GitHub Docs を指すように更新されます
 * ext インストール long を再フォーマットする
 * ext インストールのヘルプテキストで Windows quirk に言及
 * ローカルの ext インストールにおけるエラー処理の誤りを修正
 * ext インストールテストの err msg で直接アサート
 * 外部インストールのヘルプテキストでホストを明確化
 * golang.org/x/crypto を 0.29.0 から 0.31.0 に更新
 * 冗長なファイルを削除
 * 言語のマイナーな調整
 * go mod tidy
 * 使用されないコードを削除。
 * 無効になったテストを削除し、新しいテストをわずかに追加
 * ドキュメントの強化、デッドコードの削除、印刷の改善
 * Windows のファイル名作成を修正
 * 文言
 * ダイジェストを想定したハードコード
 * ダウンロードテストを修正
 * 統合テストで bash シェルを使用
 * var 作成を簡素化
 * 統合テストスクリプトを更新
 * 修正: gh コードスペースで角括弧内にブランチをリストする
 * ネスト化スクリプトを試す
 * 1 つのスクリプトですべてのテストを実行
 * windows のループ構文
 * replaceAll を使用
 * Windows で予期されるファイルパスを更新
 * Windows 固有の構文で統合テストを実行
 * すべての attestation cmd 統合テストを自動的に実行
 * action/attest-build-provenance を 1.4.4 から 2.1.0 に更新
 * apt セットアップスクリプトのエラー処理を改善
 * Windows の認証ファイルに異なるファイル名を使用
 * test(gh run): アサートブランチ名を角括弧で囲う
 * docs: rename コマンドのヘルプテキストとプロンプトを強化
 * 自動検出ベースブランチの確認を戻します
 * 自動検出ベースブランチの確認
 * からの変更をマージ #10004
 *「issuedevelop」から gh-merge-base を設定
 * gh-merge-base に対する Open PR
 * Refactor 拡張の実行可能エラー処理
 * 修正: gh 実行ビューで角括弧内にブランチをリストする (#10038)
 * docs: コマンドの説明を更新
 * style: ファイルの再フォーマット
 * docs: 文の大文字と小文字の区別を更新
 * github 所有の oci イメージを使用
 * docs: 「auth refresh」コマンドヘルプのスコープヘルプトピックの言及を追加
 * docs: 「auth login」コマンドヘルプのスコープヘルプトピックの言及を追加
 * docs: auth 範囲のヘルプトピックを追加
 * docs: browse コマンドのヘルプを改善
 * docs: #5352 の参照コマンドのドキュメントを改善
 * パッケージ参照を修正
 * oci バンドルの gh attestation verify 統合テストを追加
 * Bundle-from-oci オプションの統合テストを追加
 * テストを更新
 * テストを更新
 * veriy ポリシーオプション機能のコンテンツを実施基準に移動
 * コメント
 * switch ステートメントを試す
 * 重複したエラーチェックを削除
 * 別の関数でバンドル発行者を取得
 * ネストを削除するために更新するロジックの追加
 * ネストを減らすための逆ロジック
 * 不必要なネストを削除
 * wip、linting、取得テストに合格
 * 文言
 * var named
 * ドロップテーブルビュー
 * ポリシー情報について、関連する情報が隣り合って印刷されるようにする
 * pkg/cmd/attestation/verification/policy.go を更新
 * pkg/cmd/attestation/verification/policy.go を更新
 * pkg/cmd/attestation/verification/policy.go を更新
 * wip: 新しい printSummaryInspection を追加しました
 * 実行可能ファイルがない場合のエラー処理を改善
 * テーブル出力の実験
 * manager_test.go でアサート stderr が空です
 * エラーメッセージの文言を更新
 * 変更: ゼロを終了しても、依然として stderr に警告を出力する
 * 文言
 * 拡張インストールに関するドキュメントを改善
 * 欠如している拡張実行可能ファイルの言語を更新
 * Windows の動作に関するテストコメントを更新
 * 文言
 * 文言
 * 文言
 * 追加のポリシー情報のために改行を追加
 * ローカル拡張のドキュメント要件
 * 実行可能ファイルがない状態でローカル ext をインストールする際に警告する
 * 文言
 * 書式設定
 * 検証前にポリシー情報を印刷
 * 初期ポリシー情報メソッドを追加
 * 作業の調整中で、テーブル印刷も追加
 * 作業中、inspect の gh はバンドル署名を確認
 * 作業中: inspect が、さまざまなバンドルフィールドを適切な json で印刷するように調整

 - バージョン 2.63.2 への更新:

 * OCI からバンドルをフェッチする際に、ダイジェストにアルゴリズムを含める
 * JSON フラグとウォッチフラグが相互排他的である場合のエラー
 * ダウンロードの実行に safepaths を使用
 * ダウンロードテストの実行で一貫したスライス順序を使用
 * アーチファクトを分離するためのロジックを統合
 * ベースリポジトリがリモートにない場合の PR チェックアウトのパニックを修正
 *「gh repo fork」で既存のリモート名を変更する場合に記録する
 * インストール手順における DNF バージョンの明確化
 * linter に対する client_test.go コメントのフォーマットを修正
 * エッジケースを処理するためにロジックとテストを拡張
 * ダウンロードテストをリファクタリングし、ファイルをよりシンプルに
 * github.com/gabriel-vasile/mimetype を 1.4.6 から 1.4.7 に更新
 * テスト名が重複しないように改善
 * 悪用に対処するための 2 回目の試行

 - バージョン 2.63.0 への更新:

 * ssh git リモート URL を使用するチェックアウトテストを追加
 * 後方互換性のある認証情報パターンの名前を変更
 * CredentialPattern ドキュメントの誤字を修正
 * TODO を削除
 * 誤字を修正し、CredentialPatternFrom* 関数のテストを追加
 * SSH リモート todo を追加
 * 一般的なクリーンアップとドキュメント
 * repo 同期フェッチが安全でない認証情報パターンを使用できるようにする
 * クライアントフェッチが安全でない資格情報パターンの使用を許可する
 * クライアントプッシュで安全でない認証情報パターンの使用を許可する
 * クライアントが安全でない認証情報パターンの使用を許可する
 * 安全でないパターンへのオプトインを許可
 * 安全な認証情報パターンをサポート
 * createRelease に「ワークフロー」スコープが見つからない場合のエラー処理をリファクタリングする
 * ScopesResponder が StatusScopesResponder をラップする
 *「workflow」スコープチェックのリファクタリング
 * RP フィードバック
 * RP フィードバック
 * pkg/cmd/attestation/verify/attestation_integration_test.go を更新
 * コードレビューからの提案を適用
 * コマンドドキュメントをリファクタリングしてヒアドキュメントを使用
 * RP フィードバック
 * 未使用のテストファイルを削除
 * 変更を元に戻す
 * テストテストフィクスチャをさらに追加
 * 新しいテストバンドルでテストを更新
 * 命名
 * テストを更新
 * テストを更新
 * README.md コードブロックのフォーマットを修正
 * クリーンアップ
 * sigstore および cert ext 検証を単一の関数にラップする
 * 「pr view」で「baseRefOid」を返すオプションを追加
 * 証明書拡張機能を検証する関数は、フィルタリングされた結果リストを返す必要がある
 * RP フィードバック
 * pkg/cmd/attestation/download/download.go を更新
 * 関数パラメーターの呼び出しを修正
 * pkg/cmd/attestation/verification/extensions.go を更新
 * 書式設定の修正
 * 書式をより明確にするために更新しました
 * 「note」のマークダウン構文を更新しました。
 * リリースの手動検証に関するセクションを追加しました。
 * createRelease で欠落している「workflow」スコープを処理する
 * 露出の際に repo 作成のプッシュプロンプトを変更
 * ベアリポジトリ作成時のドキュメントプッシュ動作
 * ベアリポジトリ作成で --mirror をプッシュする
 * ベアリポジトリ作成の受け入れテストを追加
 * Doc isLocalRepo と git.Client IsLocalRepo の違い
 * repo create isLocalRepo で errWithExitCode インターフェースを使用
 * バックフィルリポジトリ作成失敗テスト
 * ベアリポジトリ作成をサポート
 * ロガーの println メソッドを使用
 * verifyCertExtensions を簡素化
 * タイプの名前を変更
 * フェッチ認証関数のリファクタリング

 - バージョン 2.62.0 に更新してください
 * CVE-2024-52308: ユーザーが悪意のある Codespace SSH サーバーに接続し、gh codespace ssh または gh codespace logs コマンドを使用すると、リモートコード実行 (RCE) が発生する可能性があります (boo#1233387、GHSA-p2h2-3vg9-4p87)
 * 実行時に拡張機能をチェックして最新バージョンを取得
 * 拡張リリースのチェックを 3 秒から 1 秒に短縮

 - 2.61.0 からの変更を含みます:
 * gh repo edit コマンドを強化して、可視性の変更による影響についてユーザーに通知し、取り消し不可能な変更を行う前にユーザーによる意図的な操作であることを確認します

 - バージョン 2.60.1 への更新:

 * アクセプタンステスト README のトークン修正に注意
 * gpg-key の削除をリファクタリングし、ssh-key の削除に合わせます
 * org コマンドの受け入れテストを追加
 * ホストおよびトークンの環境ヘルプを調整 (#9809)
 * SSH キー受け入れテストを追加
 * ラベルコマンドの受け入れテストを追加
 * gpg-key の受け入れテストを追加
 * 受け入れテストでより多くのトークンタイプを編集するために go-internal を更新
 * PR フィードバックに対応
 * GitHub Enterprise Cloud で「gh」が利用可能であることを明確にしてください
 * gh auth ログアウトからコメントを削除
 * auth-setup-git および formattedStringToEnv ヘルパー関数の受け入れテストを追加
 * トークンリダクションにフォークされたテストスクリプトを使用
 * working-with-us.md で新しい GitHub プレビュー条項を使用
 * 認証レポートで GitHub プレビューの新しい用語を使用
 * repo ビューおよびリストの json フラグをテスト
 * auth-login-logout 受け入れテストをネイティブ機能でクリーンアップ
 * PAT をフラグとして受け入れるために、「gh auth login」に --token フラグを追加
 * 認証の受け入れテストと認証トークンおよび認証ステータスのテストを設定
 * シークレットに基づいて変数テストスクリプトを更新
 * 値がない場合は代わりに extOwner をチェック
 * 無効な拡張名に対するテストを修正
 * コードの重複を削除するためのリファクタリング
 * Linting: mockDataGenerator に埋め込まれた擬似が含まれるようになったため、その関数にポインターレシーバーを配置する必要があります。
 * 軽微な調整を行い、getTrustDomain に backoff を追加しました
 * 認証情報を取得する際に 3 回再試行することを確認するテストを追加
 * vars を拡張しない一重引用符を修正
 * getAttestations に一定のバックオフ再試行を追加しました。
 * アドレス @williammartin PR フィードバック
 * wip: バックオフがない場合に失敗するテストを追加しました。
 * ローカル拡張インストールの検証を追加
 * 機能: ArchivedAt フィールドをリポジトリ構造に追加
 *「gh secret」テストスクリプトのリファクタリング
 * repo-fork-sync の「''」で true を囲む
 * 受け入れテストディレクトリの名前を repos から repo に変更
 * repo-delete testscript から不要なフラグを削除
 * LICENSE、Makefile、README.md、acceptance、api、bin、build、cmd、context、docs、git、go.mod、go.sum、internal、pkg、script、share、test、utils、commands を置き換え
 * ブール文字列を「''」で囲むことで、文字列であることを明確化
 * 不要な gh auth setup-git ステップを削除
 * いくつかの矛盾を解消し、折りたたみ機能を改善
 * repo deploy-key add/list/delete の受け入れテストを追加
 * repo-fork および repo-sync の受け入れテストを追加
 * repo-set-default の受け入れテストを追加
 * repo-edit の受け入れテストを追加
 * repo-list と repo-rename の受け入れテストを追加
 * repo-archive および repo-unarchive の受け入れテスト
 * repo-clone の受け入れテストを追加
 * repo-delete の受け入れテストを追加
 * repos および repo-create テストのテスト機能を追加
 * 検索コマンドの受け入れテストを実装
 * TestTitleSurvey のテストケースから「.」を削除
 * タイトル調査の空のタイトルメッセージコードをクリーンアップ
 * 受け入れテストをトリガーするための不足しているテストを追加
 *「gh variable」の受け入れテストを追加
 * マイナーな調整 / 一貫性
 * カスタムコマンド doc の誤字を修正
 * env2upper、env2lower をリファクタリングし、docs を追加
 * 潜在的な障害に関する秘密メモを更新
 *「gh secret」、ヘルパーコマンドのテストスクリプトを追加
 * stdout アサーションをリリースから削除
 * テストファイルの名前を変更する
 *「release」コマンドの受け入れテストを追加
 * 基本的な API 受け入れテストを実装
 * ダウンロード受け入れテストから不必要な mkdir を削除
 * 空の stdout チェックを削除
 * 承諾ワークフローでスリープをエコーに調整
 * ワークフローの受け入れテストを有効無効にするために正規表現アサーションを使用
 * 受け入れテストをキャンセルするために、run to end を監視
 * 実行ステップデータに startsAt、completedAt を含めます
 * CONTRIBUTING.md の文を書き直します
 * フィルターされたコンテンツ出力をドキュメントに追加
 * ワークフローの実行をチェックする前に 10 秒間スリープする
 * run-rerun.txtar を更新
 * cache-list-delete.txtar を作成
 * run-view.txtar を作成
 * run-rerun.txtar を作成
 * run-download.txtar を作成
 * run-delete.txtar を作成
 * IsTenancy と関連するテストはサポートされていないため、gist から削除
 * 不要なコードブランチを削除する
 * ghec データレジデントを説明するテストに ghe.com を追加
 * コメントを削除
 * auth: 冗長な ghauth.IsTenancy(host) チェックを削除
 * IsEnterprise、IsTenancy、および NormalizeHostname に対して go-gh/auth パッケージを使用
 * go-gh バージョンを 2.11.0 にアップグレード
* IsEnterprise が Tenancy を誤ってカバーしている箇所にテストカバレッジを追加
 * メタデータ正規表現による問題作成を修正
 * run-cancel.txtar を作成
 * workflow-run.txtar を作成
 * workflow-view.txtar を作成
 * ワークフローの有効化/無効化の受け入れテストを実装
 * 基本ワークフローリスト受け入れテストを実装
 * 受け入れ make ターゲットにコメントを追加
 * PR フィードバックを解決
 * 受け入れテスト発行コマンド
 * GH_ACCEPTANCE_SCRIPT をサポート
 * 受け入れ延期の失敗がデバッグ可能であることを確認する
 * makefile に受け入れタスクを追加
 * build(deps): github.com/gabriel-vasile/mimetype を 1.4.5 から 1.4.6 に更新
 * メタデータ付きの pr create に割り当てがあることを確認
 * 受け入れテストで sharedCmds 関数を文書化
 * Acceptance readme の testscript の説明を修正
 * testscript pkg ドキュメントへのリンクを追加
 * VSCode 拡張リンクを Acceptance README に追加
 * GH_HOST / GH_ACCEPTANCE_HOST の誤用を修正
 * 受入テスト PR リスト
 * 受け入れテストクリーンアップのスキップをサポート
 * メタデータによる受け入れテストの PR 作成
 * 受け入れテストにレガシー PAT を使用することを提案
 * 受け入れテストのドキュメントにホストの推奨を追加
 * さらに一致する場合に残りのテキストを追加しません
 * テーブルとコンテンツで一致をハイライト
 * すべての改行を分割し、色なしを非 TTY に出力
 * コード検索に類似したフィルタリングされた gist を印刷
 * フィルタリング時に進行状況を表示
 * 説明を簡素化
 * --filter なしの --include-content 使用は禁止
 * ヘルプドキュメントの改善
 * 既存の「gist list」にフィルタリングをリファクタリングする
 * パフォーマンスの向上
 * 「gist search」コマンドを追加し
 * 関数シグネチャの変更後の api テストを修正
 * エラーが発生したときに空のオブジェクトの代わりに nil を返す
 * ライセンスリストとビューテストを修正
 * 受け入れテストに必要な環境変数 not-empty を検証
 * Acceptance README に go to test の手順を追加
 * コードレビューからの提案を適用
 * 受け入れテストが github または cli orgs を対象としている場合に発生するエラー
 * Acceptance README にコードカバレッジを追加
 * 受け入れ環境変数を分離
 * Acceptance README に [Writing Tests] セクションを追加
 * Acceptance README に Debug および Authoring セクションを追加
 * 受け入れテスト PR コメント
 * 受け入れテスト PR のマージおよびリベース
 * txtar ファイルの構文ハイライトサポートに注意してください
 * リファクタリング受け入れテスト環境の処理
 * 初期受け入れテストの README を追加
 * testscripts に txtar 拡張を使用
 * 受け入れテストで他のホストをターゲットにするサポート
 * PR 受け入れテストで stdout2env を使用
 * 受け入れテスト PR チェックアウト
 * pr view テストスクリプトを追加
 * 初期 testscript の紹介
 * この段階で、VerifyCertExtensions が同じように騙されないようにしましょう。
 *「.gitignore」ファイルを作成する例を追加
 * ライセンスビューのヘルプを更新
 * http エラー処理のリファクタリング
 * ライセンスビューの「--web」フラグを実装
 * ライセンス表示のヘルプドキュメントを修正し、LICENSE.md の例を追加
 * ヘルプを更新し、ヒアドキュメントのインデントを修正
 * SPDX ID をライセンスリスト出力に追加
 * ExactArgs 呼び出しを修正
 * 制限を示すライセンスリストに「Long」を追加
 * 関数名を更新
 * リバースリポジトリ/共有パッケージ名の変更
 * 検証する証明書がゼロの場合、LiveSigstoreVerifier.Verify 関数がエラーを返す。
 * cli/oauth を 1.1.1 に更新
 * TitleSurvey の変更に対するテスト範囲を追加
 * pr および issue 作成のテスト失敗を修正
 * エラーメッセージの X を赤くして、io writer で印刷
 * 認証フローでのホスト名の解析によるエラーを処理
 * コードレビューからの提案を適用
 * テストのリファクタリングと新しいテストの追加
 * API 呼び出しを query_repo.go に移動
 * ユーザーが環境から $GH_MDWIDTH を介して markdown wrap width をオーバーライドできるようにする
 * 問題と PR の空のタイトルの処理を追加
 * ブラウザを開いたときでもログイン URL を印刷
 * コードレビューからの提案を適用
 * SECURITY.md を更新
 * 誤字と wordsmithing を修正
 * 誤字を修正
 * 見出しから末尾のスペースを削除
 * 文言を修正
 * docs を更新して、コミュニティがデザインを送信できるようにする
 * license ビューを実装
 * gitignore ビューを実装
 * gitignore リストを実装
 * ライセンステーブルの見出しとテストを更新
 * ListLicenseTemplates doc を修正
 * 出力のキャピタリゼーションを修正
 * レンダリングとテストのクリーンアップ
 * json 出力オプションを削除
 * 共有リポジトリパッケージを分割し、クエリテストを追加
 *「gh repo license list」の実装の最初のパス
 * Apple Silicon macOS マシンで拡張機能のインストールが darwin-amd64 バイナリにフォールバックしたときにログメッセージを出力する

 - バージョン 2.58.0 への更新:
 * build(deps): github.com/theupdateframework/go-tuf/v2 をアップグレード
 * 「dnf5」コマンドを含みます
 * GPG の主要な説明を適切なセクションに追加
 * ドキュメントの言語を更新し、「ログインする場所」に関する混乱を解消
 * promptForHostname の条件を変更して、プロンプターの変更をより適切に反映する
 * GitHub ホストでの認証に関する言語を簡潔化。
*「gh auth login」の docstring 言語を更新
 *「gh auth login」のプロンプトを変更し、GHE からその他への変更を反映
 * ホスト名プロンプトの文例の「その他」オプション
 * build(deps):github.com/henvic/httpretty を 0.1.3 から 0.1.4 に更新
 *「gh auth login」の「hostname」の使用方法を説明するドキュメントを追加
 *「gh auth login」プロンプトで「GitHub Enterprise Server」を「other」に置き換える
 * trusted-root コマンドのテナント認識を修正
 * テストを修正する
 * pkg/cmd/extension/manager.go を更新
 * コメントフォーマットを更新
 * trustedroot.go の新しい HasActiveToken メソッドを使用
 * HasActiveToken メソッドを AuthConfig インターフェースに追加
 * AuthConfig に HasActiveToken を追加。
 * エラー表示を改善
 * お使いのプラットフォーム用のバイナリがない拡張に問題を作成するための推奨コマンドを改善しました
 * pkg/cmd/attestation/trustedroot/trustedroot_test.go を更新
 * build(deps): github.com/cpuguy83/go-md2man/v2 を 2.0.4 から 2.0.5 に更新
 * テナンシーの認証を強制
 * att trusted-root cmd の認証チェックを無効化
 * att のカスタム発行者の不一致を確認するためのエラーが改善
 * gh リポジトリ作成ドキュメントを強化し、ランダムな cmd リンクを修正

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける gh、gh-bash-completion、gh-fish-completion、gh-zsh-completion パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1233387

http://www.nessus.org/u?07dfb8e7

https://www.suse.com/security/cve/CVE-2024-52308

プラグインの詳細

深刻度: Critical

ID: 214507

ファイル名: openSUSE-2025-0021-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/1/23

更新日: 2025/1/23

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.5

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-52308

CVSS v3

リスクファクター: Critical

基本値: 9.6

現状値: 8.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:gh-zsh-completion, cpe:/o:novell:opensuse:15.6, p-cpe:/a:novell:opensuse:gh, p-cpe:/a:novell:opensuse:gh-fish-completion, p-cpe:/a:novell:opensuse:gh-bash-completion

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/1/22

脆弱性公開日: 2024/11/14

参照情報

CVE: CVE-2024-52308