SUSE SLES15 セキュリティ更新 : grub2 (SUSE-SU-2025:0607-1)

high Nessus プラグイン ID 216650

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2025:0607-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- CVE-2024-45781: ufs での strcpy オーバーフローを修正しました。(bsc#1233617)
- CVE-2024-56737: hfs でのヒープベースのバッファオーバーフローを修正しました。(bsc#1234958)
- CVE-2024-45782: hfs での strcpy オーバーフローを修正しました。(bsc#1233615)
- CVE-2024-45780: tar/cpio でのオーバーフローを修正しました。(bsc#1233614)
- CVE-2024-45783: hfsplus での refcount オーバーフローを修正しました。(bsc#1233616)
- CVE-2024-45774: JPEG パーサーでのヒープオーバーフローを修正しました。(bsc#1233609)
- CVE-2024-45775: extcmd パーサーでの NULL チェックの欠落を修正しました。(bsc#1233610)
- CVE-2024-45776: .MO ファイル処理でのオーバーフローを修正しました。(bsc#1233612)
- CVE-2024-45777: gettext での整数オーバーフローを修正しました。(bsc#1233613)
- CVE-2024-45778: ロックダウン対応モジュールから削除することで、bfs ファイルシステムを修正しました。(bsc#1233606)
- CVE-2024-45779: bfs でのヒープオーバーフローを修正しました。(bsc#1233608)
- CVE-2025-0624: ネットワーク起動プロセス中の領域外書き込みを修正しました。(bsc#1236316)
- CVE-2025-0622: command/gpg でモジュールのアンロード中にフックを処理する際のメモリ解放後使用 (Use After Free) を修正しました。
(bsc#1236317)
- CVE-2025-0690: 読み取りコマンドを通じた領域外書き込みを引き起こす可能性のある整数オーバーフローを修正しました。
(bsc#1237012)
- CVE-2025-1118: grub がロックダウンモードのときにダンプコマンドがブロックされていなかった問題を修正しました。
(bsc#1237013)
- CVE-2025-0677: ufs 内のシンボリックリンクを処理するときに領域外書き込みを引き起こす可能性のある整数オーバーフローを修正しました。
(bsc#1237002)
- CVE-2025-0684: reiserfs 内のシンボリックリンクを処理するときに領域外書き込みを引き起こす可能性のある整数オーバーフローを修正しました。
(bsc#1237008)
- CVE-2025-0685: jfs 内のシンボリックリンクを処理するときに領域外書き込みを引き起こす可能性のある整数オーバーフローを修正しました。
(bsc#1237009)
- CVE-2025-0686: romfs 内のシンボリックリンクを処理するときに領域外書き込みを引き起こす可能性のある整数オーバーフローを修正しました。
(bsc#1237010)
- CVE-2025-0689: 任意のコードの実行を引き起こす可能性がある、udf のヒープベースのバッファオーバーフローを修正しました。
(bsc#1237011)
- CVE-2025-1125: hfs での領域外書き込みを引き起こす可能性のある整数オーバーフローを修正しました。(bsc#1237014)
- CVE-2025-0678: squash4 での領域外書き込みを引き起こす可能性のある整数オーバーフローを修正しました。
(bsc#1237006)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1233606

https://bugzilla.suse.com/1233608

https://bugzilla.suse.com/1233609

https://bugzilla.suse.com/1233610

https://bugzilla.suse.com/1233612

https://bugzilla.suse.com/1233613

https://bugzilla.suse.com/1233614

https://bugzilla.suse.com/1233615

https://bugzilla.suse.com/1233616

https://bugzilla.suse.com/1233617

https://bugzilla.suse.com/1234958

https://bugzilla.suse.com/1236316

https://bugzilla.suse.com/1236317

https://bugzilla.suse.com/1237002

https://bugzilla.suse.com/1237006

https://bugzilla.suse.com/1237008

https://bugzilla.suse.com/1237009

https://bugzilla.suse.com/1237010

https://bugzilla.suse.com/1237011

https://bugzilla.suse.com/1237012

https://bugzilla.suse.com/1237013

https://bugzilla.suse.com/1237014

http://www.nessus.org/u?90891a06

https://www.suse.com/security/cve/CVE-2024-45774

https://www.suse.com/security/cve/CVE-2024-45775

https://www.suse.com/security/cve/CVE-2024-45776

https://www.suse.com/security/cve/CVE-2024-45777

https://www.suse.com/security/cve/CVE-2024-45778

https://www.suse.com/security/cve/CVE-2024-45779

https://www.suse.com/security/cve/CVE-2024-45780

https://www.suse.com/security/cve/CVE-2024-45781

https://www.suse.com/security/cve/CVE-2024-45782

https://www.suse.com/security/cve/CVE-2024-45783

https://www.suse.com/security/cve/CVE-2024-56737

https://www.suse.com/security/cve/CVE-2025-0622

https://www.suse.com/security/cve/CVE-2025-0624

https://www.suse.com/security/cve/CVE-2025-0677

https://www.suse.com/security/cve/CVE-2025-0678

https://www.suse.com/security/cve/CVE-2025-0684

https://www.suse.com/security/cve/CVE-2025-0685

https://www.suse.com/security/cve/CVE-2025-0686

https://www.suse.com/security/cve/CVE-2025-0689

https://www.suse.com/security/cve/CVE-2025-0690

https://www.suse.com/security/cve/CVE-2025-1118

https://www.suse.com/security/cve/CVE-2025-1125

プラグインの詳細

深刻度: High

ID: 216650

ファイル名: suse_SU-2025-0607-1.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2025/2/22

更新日: 2025/8/1

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.1

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-1125

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:grub2-snapper-plugin, p-cpe:/a:novell:suse_linux:grub2-systemd-sleep-plugin, p-cpe:/a:novell:suse_linux:grub2-x86_64-xen, p-cpe:/a:novell:suse_linux:grub2-x86_64-efi, p-cpe:/a:novell:suse_linux:grub2-arm64-efi, p-cpe:/a:novell:suse_linux:grub2, p-cpe:/a:novell:suse_linux:grub2-powerpc-ieee1275, p-cpe:/a:novell:suse_linux:grub2-i386-pc, p-cpe:/a:novell:suse_linux:grub2-s390x-emu, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/2/20

脆弱性公開日: 2024/4/11

参照情報

CVE: CVE-2024-45774, CVE-2024-45775, CVE-2024-45776, CVE-2024-45777, CVE-2024-45778, CVE-2024-45779, CVE-2024-45780, CVE-2024-45781, CVE-2024-45782, CVE-2024-45783, CVE-2024-56737, CVE-2025-0622, CVE-2025-0624, CVE-2025-0677, CVE-2025-0678, CVE-2025-0684, CVE-2025-0685, CVE-2025-0686, CVE-2025-0689, CVE-2025-0690, CVE-2025-1118, CVE-2025-1125

IAVA: 2024-A-0207

SuSE: SUSE-SU-2025:0607-1