検出

SUSE SLED15 / SLES15 / openSUSE 15 : Maven の更新を推奨 (SUSE-SU-2025:0719-1)

high Nessus プラグイン ID 216883

Language:

概要

リモートの SUSE ホストにセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:0719-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 maven-dependency-analyzer がバージョン 1.13.2 から 1.15.1 に更新されました:

 - バージョン間の主な変更点:
 * 動的タイプのバグ修正とサポートの改善
 * 依存関係のアップグレード (ASM、Maven コア、特に commons-io の削除)
 * 失敗させる代わりにログを記録することで、エラー処理を改善
 * 依存関係の使用状況の追跡を改善

 maven-dependency-plugin がバージョン 3.6.0 から 3.8.1 に更新されました:

 - バージョン間の主な変更点:
 * maven-dependency-analyzer および Doxia での依存関係のアップグレード
 * dependency:sources を廃止し、dependency:resolve-sources に置き換え
 * ドキュメントの改善
 * 無効な除外をチェックするための新しい依存関係分析目標
 * dependency:tree の新しい JSON 出力オプション
 * パフォーマンス向上
 * 以下に対処する複数のバグ修正:
 - サイレントパラメーターの処理
 - ツリー内のオプションのフラグの表示
 - 一部のエラーメッセージの明瞭性

 maven-doxia-sitetools がバージョン 1.11.1 から 2.0.0 に更新されました:

 - バージョン間の主な変更点:
 - 新機能:
 - 入力ファイル名のパーサーへの受け渡し
 - サイト記述子へのタイムゾーンフィールドの追加
 - マークアップごとのパーサーの設定
 * 改善:
 - サイト記述子プロパティの明確化
 - サイト記述子 (site.xml) が提供されている場合、スキンを要求
 - リソース処理の最適化
 - ロケールサポートの全面的な見直し
 - 改良されたメニュー項目表示
 - アーチファクト解決のための Maven リゾルバーの使用
 - Velocity コンテキスト入力を強化
 - アンカー作成の自動化
 * 内部変更:
 - Plexus から Sisu への移行
 - Java 8 にアップグレード
 - 廃止されたコンポーネントおよび機能の削除 (Maven 1.x サポート、Google 関連のプロパティなど)
 - サイトモデルを簡素化
 - DocumentRenderer インターフェース/DocumentRenderingContext クラスの API を改善
 * 以下に対処する複数のバグ修正:
 - Plexus から Sisu への移行
 - デコレーションモデルインジェクション
 - アンカー作成
 - XML 文字のエスケープ
 - 0 バイトサイト記述子の処理

 maven-doxia がバージョン 1.12.0 から 2.0.0 に更新されました:

 - バージョン間の主な変更点:
 * HTML5 サポートの改善:
 + 旧式の属性および要素が削除されました + スタイル設定に CSS スタイルが使用されるようになりました + XHTML5 がデフォルトの HTML 実装となり、XHTML(4) は廃止されます
 * Markdown サポートの改善:
 + 新しい Markdown シンクにより、コンテンツを Markdown に変換できます。
 + ブロック引用、脚注、メタデータなどのさまざまな Markdown 機能のサポートが追加されました
 * 全般的な改善:
 + 依存関係が更新されました + Doxia が Java 8 にアップグレードされました + ロギングと Doxia ID の生成が合理化されました + Plexus から Sisu への移行 + 廃止されたモジュールとコードが削除されました
 * 以下に対処する複数のバグ修正:
 + HTML5 のテーブル、スタイル、欠落または不適切に処理された属性などの不適切な出力 + Markdown フォーマットの問題 + プレクサス移行の問題 + 一意の ID の不適切な生成 + ドキュメントタイトルの不適切なアンカー生成 + 無視される要素クラス

 maven-invoker-plugin がバージョン 3.2.2 から 3.8.1 に更新されました:

 - バージョン間の主な変更点:
 * Commons-lang3 は削除されています
 * カスタム Maven 実行可能ファイル、外部 POM ファイル、およびその他の CLI オプションが現在サポートされています
 * 非推奨のコードがクリーンアップされました
 * Doxia が更新され、HTML 生成が改善され、Markdown サポートが追加されました
 * Groovy が更新され、JDK 19 のサポートが追加されました
 * レポートと時間処理の改善
 * 呼び出しプロパティおよび Maven オプションに対する強化された構文サポート
 * Java 8 がサポートされている最小バージョンになりました
 * Maven 3.6.3 がサポートされている最小バージョンになりました
 * いくつかの依存関係が更新または削除されました
 * スナップショットの更新動作を制御できます
 * 以下の問題に対処する複数のバグ修正:
 + 依存関係の解決 + 環境変数 + ファイル処理 + レポート生成 + スレッド

 maven-invoker がバージョン 3.1.0 から 3.3.0 に更新されました:

 - バージョン間の主な変更点:
 * いくつかの CLI オプションを追加しました。
 * スナップショットの更新を無効にするサポートを追加しました。
 * 継承された環境のテストを追加
 * カスタム Maven 実行可能ファイル
 * 非推奨のコードが削除されました
 * 外部 POM ファイル
 * ビルダー ID に関する問題を修正
 * タイムアウト処理を改善
 * Java 8 が要件になりました
 * テストは JUnit 5 に移行されました

 maven-javadoc-plugin がバージョン 3.6.0 から 3.11.1 に更新されました:

 - バージョン間の主な変更点:
 * テストクリーンアップおよび一貫性のないデフォルト値に対処しました
 * 古い JDK の自動リリース検出
 * ドキュメントを明確化
 * org.codehaus.plexus:plexus-java および Doxia の依存関係のアップグレード
 *「old」パラメーターを廃止
 * 改善点には、Java 12 以降のリンクの処理、呼び出し元によるユーザー設定、デフォルトの作成者の値が含まれます。
 * 統合テストを簡素化しました。
 * maven プラグインの親をアップグレード
 * 以下に関するさまざまなバグ修正:
 + ツールチェーンの問題 + 空の JAR の作成 + JDK 10 の互換性 + Reactor のビルドの失敗 + ユニットテストの問題 + Null ポインターの例外 + スキップされたレポートの問題 + 古いファイルの検出 + Log4j の依存関係ダウンロード + テストリポジトリの作成

 maven-parent がバージョン 40 から 43 に更新されました:

 - バージョン間の主な変更点:
 * 潜在的な最新の変更:
+ 「maven-plugin-annotations」の依存関係を削除し、Maven 4 プラグインのサポートを改善 + 「checkstyle.violation.ignore」を削除
 * Java 21 サポートを改善
 * 空の Surefire および PMD レポートがスキップされるようになりました
 * コンパイラーによる注釈処理を無効にしました
 * さまざまなコードのクリーンアップおよびプロジェクトの再構築タスク

 maven-plugin-tools がバージョン 3.13.0 から 3.15.1 に更新されました:

 - バージョン間の主な変更点:
 * Doxia および Velocity Engine のアップグレード
 * process-classes を呼び出さない新しい report-no-fork 目標「report-no-fork」
 * o.a.m.plugins.annotations.Component の廃止
 * Maven 3 および Maven 4 のサポートを改善

 maven-reporting-api がバージョン 3.1.1 から 4.0.0 に更新されました:

 - バージョン間の主な変更点:
 * API: MavenReportRenderer.render() および MavenReport.canGenerateReport() が例外をスローできるようにします
 * ロケールが非 null である必要があります
 * MavenReport インターフェースおよび AbstractMavenReport クラスを改善します
 * 未使用の default-report.xml ファイルを削除

 maven-reporting-implementation がバージョン 3.2.0 から 4.0.0 に更新されました:

 - バージョン間の主な変更点は次のとおりです:
 * canGenerateReport() への重複呼び出しの問題に対処しました
 * マークアップ出力サポート、柔軟なセクション処理、逐語的ソースレンダリングなどの新機能
 * スキン、レンダリング、パラメーター処理、タイムスタンプ入力、ロギングに対する多数の改善
 * Java 8 にアップグレード

 maven-surefire がバージョン 3.2.5 から 3.5.2 に更新されました:

 - バージョン間の主な変更点は次のとおりです:
 * JUnit5 テストレポート、シリアル化、クラスパス処理、および新しい JDK との互換性に関する問題を修正しました。
 * システムプロパティ、commons-io の使用、パラレルテストの実行、およびレポート生成の処理を改善しました。
 * Doxia および commons-compress の依存関係を更新
 * FAQ の修正を含むドキュメントの改善

 plexus-velocity はバージョン 2.1.0 に更新されました:

 - Velocity Engine を 2.3 にアップグレードしました
- JUnit5 に移動

 velocity-engine:

 - バージョン 2.4 で新しいパッケージ velocity-engine-core を実装

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?49687fec

https://www.suse.com/security/cve/CVE-2020-13936

プラグインの詳細

深刻度: High

ID: 216883

ファイル名: suse_SU-2025-0719-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/2/27

更新日: 2025/2/27

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9

現状値: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2020-13936

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:maven-doxia-core, p-cpe:/a:novell:suse_linux:maven-doxia-module-apt, p-cpe:/a:novell:suse_linux:maven-doxia-module-xhtml5, p-cpe:/a:novell:suse_linux:maven-surefire-provider-testng, p-cpe:/a:novell:suse_linux:plexus-velocity, p-cpe:/a:novell:suse_linux:maven-doxia-module-fml, p-cpe:/a:novell:suse_linux:maven-doxia-module-xdoc, p-cpe:/a:novell:suse_linux:maven-reporting-api, p-cpe:/a:novell:suse_linux:maven-surefire-plugin, p-cpe:/a:novell:suse_linux:velocity-engine-core, p-cpe:/a:novell:suse_linux:maven-surefire-provider-junit, p-cpe:/a:novell:suse_linux:maven-javadoc-plugin, p-cpe:/a:novell:suse_linux:maven-plugin-annotations, p-cpe:/a:novell:suse_linux:maven-surefire, p-cpe:/a:novell:suse_linux:maven-doxia-sink-api, p-cpe:/a:novell:suse_linux:maven-invoker, p-cpe:/a:novell:suse_linux:maven-doxia-sitetools, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/2/26

脆弱性公開日: 2021/3/10

参照情報

CVE: CVE-2020-13936

SuSE: SUSE-SU-2025:0719-1