SUSE SLED15/ SLES15/ openSUSE 15 セキュリティ更新: ビルド (SUSE-SU-2025:0857-1)

medium Nessus プラグイン ID 232718

Language:

概要

リモートの SUSE ホストにセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:0857-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

- CVE-2024-22038: DoS 攻撃、細工された Git リポジトリに関する情報漏洩を修正しました (bnc#1230469)

その他の修正:
- VM ビルドで「--shell」別名「osc shell」オプションを使用する際の動作を修正しました。起動はより高速化され、アクセス許可もそのまま維持されます。

- obs-docker-support adn mkbaselibs に対する POSIX 互換性の修正
- docker/podman ビルドの apk のサポートを追加
- Docker イメージで「wget」のサポートを追加
- Dockerfile ビルドの debian サポートを修正
- コンテナのプレインストールイメージを修正
- mkosi: build-recipe で直接使用されるシステムパッケージを再度追加
- pbuild: Debian リポジトリのリリースファイルを解析

- mkosi: ほとんどの systemd/build-packages 依存関係を削除し、存在する場合は obs_scm ディレクトリをソースとして使用する
- ソースコピー処理の改善
- --repos-directory および --containers-directory オプションの導入

- productcompose: baseiso に対するビルドをサポート
- preinstallimage: ビルドスクリプトで生成されたファイルの組み込みを避ける
- kiwi と productcompose のソースコピーインのタイムスタンプを保持する
- alpine パッケージのサポートを更新
- tumbleweed 設定の更新

- debian: 外部アーキテクチャパッケージのインストールをサポート (armv7l セットアップに必要)
- 不明なタイムゾーンを UTC として解析する
- Apk (Alpine Linux) 形式のサポートを追加
- パラメーター拡張にデフォルト値を実装
- & を「and」として使用する補足機能をサポート
- skopeo の引数パーサーの回避策を追加
- power9 に cap-htm=off を追加
- chown 呼び出しの使用率を修正
-「purl」ロケーターから先行する「go」を削除

- 関連するコンテナ
* kiwi レシピで新しい <containers> 要素のサポートを実装
* SBOM およびマルチステージコンテナビルドの依存関係を修正
* obs-docker-support: dnf と yum の置換を有効化
- Arch Linux:
* Arch repo のファイルパスを修正
* サポートされていないアーキテクチャを除外
* ダウンロードユーザーとして root を使用
- build-vm-qemu: riscv64 で sv48 satp モードを強制する
- mkosi:
* mkosi ビルド後に .sha256 ファイルを作成
* mkosi に常に --image-version を渡す
- 全般的な改善とバグ修正 (mkosi、pbuild、appimage/livebuild、obs 作業検出、ドキュメント、SBOM)
- unpack_slsa_provenance の slsa v1 をサポート
- generate_sbom: spdx サプライヤを上書きしない
- export_debian_orig_from_git を強化 (bsc#1230469)

- SBOM 生成:
- golang イントロスペクションサポートの追加
- Rust バイナリイントロスペクションのサポートを追加
- 不明なライセンスを追跡し、「hasExtractedLicensingInfos」セクションを追加
- Cycronedx のライセンスも正規化
- generate_sbom エラーを重大なものとする
- 全般的な改善
- buildir が削除されたために機能しない noprep ビルドを修正
- kiwi image: /var/lib/dpkg/status が存在する場合は Debian ビルドも検出する
- コードポイントを utf8 に変換するのに Encode モジュールを使用しない
- riscv のパーソナリティ syscall 番号を修正
- KVM ビルドに必要な推奨事項をさらに追加
- build-recipe-arch の PACKAGER フィールドを設定
- _modulemd.yaml の書き込みを修正
- pbuild: --release および --baselibs オプションをサポート
- コンテナ:
- 注釈からコンテナ情報にベースコンテナ情報をコピーする
- 複数のステージにわたってベースコンテナを追跡する
- ベースコンテナを常に依存関係の最後に配置する

- createdirdeps ツールでの fileprovides の提供
- ビルドフラグの nocheck を導入

- productcompose:__all__ オプションをサポート
- 設定更新: preinstallexpand を使用した tumbleweed
- マイナーな改善

- tumbleweed ビルド設定の更新
- %load マクロをサポート
- コンテナファイル名生成の改善 (docker)
- ビルド中にハングする curl 呼び出しを修正 (docker)
- productcompose: マイルストーンクエリを修正

- tumbleweed ビルド設定の更新
- 15.6 ビルド設定の修正
- sourcerpm および sourcedep 処理の修正
- productcompose:
- マイルストーンの処理を修正
- bcntsynctag をサポート
- generate_sbom への debian サポートの追加
- loongarch64 カーネルのパーソナリティスイッチの syscall を追加
- vm-build: ext3 & ext4: ディスク領域の割り当てを修正
- mkosi 形式の更新、まだ完全には機能していない
- pbuild の例外の修正
- 現在の fedora および centos distros に対する修正
- OBS-DCH-RELEASE が設定されている場合に、元の dsc ソースをコピーしない
- ソース/パッチの解析を中断しない
- dockerfile パーサーで ForceMultiVersion をサポート
- rpm 4.17.1 の %bcond をサポート

- systemd 255.3 のハックを追加。プレインストール後に /etc/os-release がない場合は空の /etc/os-release を作成する。
- docker: dummyhttpserver の HEAD リクエストを修正
- pbuild: docker-nobasepackages の expand フラグをデフォルトにする
- rpm: いくつかのビルトイン rpm マクロをサポート
- rpm: define/with/bcond... の引数拡張を実装
- 複数行のマクロ処理を修正
- %autosetup の -N パラメーターを受け入れる
- ドキュメントの更新
- さまざまなコードのクリーンアップおよび高速化作業。

- ProductCompose: 複数の改善
- buildflags:define_specfile のサポートを追加
- git サブディレクトリソースのコピーインを修正
- pbuild: XML 解析を高速化
- pubild: 製品設定サポート
- generate_sbom: ヘルプオプションを追加
- podman: runtime=runc を強制
- distro 設定から直接競合を実装
- changelog2spec: タイムゾーン処理を修正
- チェックスクリプトを実行する前に /proc/sys/fs/binfmt_misc をアンマウントしない
- 仕様ファイルのクリーンアップ
- ドキュメントの更新

- productcompose:
- サポートスキーマ 0.1
- サポートマイルストーン
- Leap 15.6 の設定
- SLE 15 SP6 の設定

- productcompose: 互換性のないフレーバー構文の変更に従う
- pbuild: zstd のサポート

- カーネルパッケージ経由の cmdline パラメーターの処理を修正

- productcompose:
* BREAKING: 新しいスキーマをサポート
* フレーバーアーキテクチャの解析を適応させる

- productcompose:
* フィルタリングされたパッケージリストをサポート
* デフォルトのアーキテクチャリスト表示をサポート
* VM ビルドのバイナリコピーを修正^

- obsproduct ビルドタイプの名前が productcompose に変更された

- zstd 圧縮 rpm-md メタデータをサポート (bsc#1217269)
- Debian 12 設定を追加
- 最初の ObsProduct ビルド形式のサポート

- SLE 15 SP5 ビルドの設定を修正
- obs リポジトリのユーザーエージェント処理を改善

- Docker:
- Dockerfile でフレーバー固有のビルドの説明をサポートする。$flavor
- 推奨パッケージも提供する「PlusRecommended」ヒントをサポート
- 名前とバージョンの両方がわかっている場合は、ファイル名としてその名前とバージョンを使用する
- デフォルトで docker 形式のコンテナを生成する
- pbuild: OBS リソースの署名認証のサポート
- --vm-type podman のワイプビルドルートを修正
- BUILD_RELEASE および BUILD_CHANGELOG_TIMESTAMP を /.buildenv に配置
- build-vm-kvm: riscv64 で -cpu ホストを使用
- 軽微な修正とクリーンアップ

- ソースに BcntSyncTag のパーサーを追加

- pbuild:
* スペック以外のビルドタイプの依存関係の拡張を修正
* サイクル処理コードを修正
* --extra-packs オプションを追加
* debugflags オプションを追加
- Pass-through --buildtool-opt
- パッチとソース行をより正確に解析する
- tunefs 機能を修正
- マイナーなバグ修正

- --vm-type=podman を追加 (ルートのないビルドもサポート)
- Dockerfile でのビルド制約もサポート
- マイナーな修正

- SUSE ALP ビルドの設定を追加

- 変更: プロジェクト設定を解析するときにエラーが記録され、以前の動作は未定義
- コンテナ: 圧縮形式の設定オプションをサポート
- --no-init で ccache をセットアップしない
- loongarch64 サポートを改善
- sbom: SPDX サプライヤタグを追加
- kiwi: プロファイルごとに異なるバージョンをサポート
- preinstallimage: 再圧縮が失敗すると失敗する
- 推奨および補足の依存関係のサポートを追加
-「keepfilerequires」拡張フラグをサポート
-「--buildtool-opt=OPTIONS」を追加して、使用されるビルドツールにオプションを渡す
- distro 設定の更新
* ArchLinux
* Tumbleweed
- ドキュメントの更新

- openSUSE Tumbleweed: 設定を同期し、suse_version 1699 に移動。

- ユニバーサルポストビルドフック。/usr/lib/build/post_build.d/ にファイルを置くのみ
- mkbaselibs/hwcaps、パターン名を再度修正 (x86_64_v3)
- KiwiProduct: オプションが設定されている場合は --use-newest-package ヒントを追加

- Dockerfile サポート:
* マルチビルドフレーバーを引数としてエクスポートする
* FROM .. スクラッチ行にパラメーターを許可する
* != linux の場合、ビルド結果に OS 名を含める
- クロスアーキテクチャ sysroot の directory->symlink の usrmerge 問題を回避する
- SBOM サポートに関する複数の修正

- KIWI VM イメージの SBOM サポートを追加

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1217269

https://bugzilla.suse.com/1230469

http://www.nessus.org/u?8b990fb9

https://www.suse.com/security/cve/CVE-2024-22038

プラグインの詳細

深刻度: Medium

ID: 232718

ファイル名: suse_SU-2025-0857-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/3/14

更新日: 2025/3/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.5

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:C/A:C

CVSS スコアのソース: CVE-2024-22038

CVSS v3

リスクファクター: High

基本値: 7.3

現状値: 6.4

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.8

Threat Score: 4.4

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:build, p-cpe:/a:novell:suse_linux:build-mkbaselibs, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/3/13

脆弱性公開日: 2024/11/28

参照情報

CVE: CVE-2024-22038

SuSE: SUSE-SU-2025:0857-1