openSUSE 15 セキュリティ更新:chromium、gn(openSUSE-SU-2025:0115-1)

high Nessus プラグイン ID 233985

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 15 ホストには、openSUSE-SU-2025:0115-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

クロムの変更:
- Chromium 135.0.7049.52 (安定版リリース 2025-04-01)(boo#1240555)
* CVE-2025-3066:ナビゲーションの use-after-free
* CVE-2025-3067: Custom Tabs における不適切な実装
* CVE-2025-3068: Intents の不適切な実装
* CVE-2025-3069: Extensions における不適切な実装
* CVE-2025-3070:拡張機能の信頼できない入力の不十分な検証
* CVE-2025-3071: ナビゲーションでの不適切な実装
* CVE-2025-3072: Custom Tabs における不適切な実装
* CVE-2025-3073: Autofill での不適切な実装。
* CVE-2025-3074: ダウンロードにおける不適切な実装

gn での変更:
- バージョン 0.20250306 への更新:
*rust 実行可能ファイルからモジュールの pcm ファイルへの deps を削除します
*rust 実行可能 deps のテストを更新
* TestWithScope に cxx モジュール用のツールチェーンを追加
* 最新の clang-format を適用
* {rustdeps} の参照を更新
* たとえ空の場合でも、.toolchain ファイルを常に生成します。
* パス -- arm64 用の jemalloc を構築する際にwith-lg-page=16 。
* 旧式のデバッグチェックを削除します。
* Windows のデフォルト vs ide バージョンを 2022 にします
* Reland 「path_exists() 関数を追加します」
* 「path_exists() 関数を追加します」を元に戻します
* path_exists() 関数を追加します
* 「カスタム OutputStream インターフェイスで GN を高速化」を元に戻します。
* カスタム OutputStream インターフェイスで GN を高速化します。
* 「exec_script_allowlist」を追加して、「exec_script_whitelist」を置き換えます。
* 失敗した場合に ReplaceFile を再試行します
* NinjaBuildWriter::RunAndWriteFile が失敗したときのクラッシュを修正
* escape.h を修正します
* gn gen の失敗に対する終了コードを修正します
* misc:cgi.escape の代わりに html.escape を使用
* Scopeコンストラクターで親のbuild_dependency_files_をコピーしません。
* 重複するアイテムのエラーメッセージを改善します
* [rust-project] sysroot パスで常にフォワードスラッシュを使用
* all_dependent_configs のドキュメントを更新します。
* デフォルトで「no_stamp_files」を設定
* 誤字を修正します
* 暫定的な LFS64 API の使用を停止します
* 偽造ルールにツールプレフィックスを使用しません
* [rust]rust-project.json に sysroot_src を追加します
* 「no_stamp_files」を実装して有効化
* Target::dependency_output_alias() を追加します
* generated_file ドキュメントに「outputs」を追加します。
* バグデータベースのリンクを更新。
* 変数バインド後の末尾のスペースを削除
* ツール名のエラーを修正
* 未使用の include を削除
* Markdown の最適化(フォローアップ)
* Rustのリンクされたツールのlink_output、depend_outputをサポートします。
*rust ツール定義の runtime_outputs を適切に検証します。
* BugFix:gen.py ファイルの構文エラー
* generated_file:スタンプの入力デバイスに出力を追加します
* Markdown の最適化:
* 「Rust:dylibs の link_output、depend_output、および runtime_outputs」を元に戻します
* 許可されていないインクルードで nogncheck を使用するヒント

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける chromedriver、chromium および / または gn パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1240555

http://www.nessus.org/u?4c7cba5a

https://www.suse.com/security/cve/CVE-2025-3066

https://www.suse.com/security/cve/CVE-2025-3067

https://www.suse.com/security/cve/CVE-2025-3068

https://www.suse.com/security/cve/CVE-2025-3069

https://www.suse.com/security/cve/CVE-2025-3070

https://www.suse.com/security/cve/CVE-2025-3071

https://www.suse.com/security/cve/CVE-2025-3072

https://www.suse.com/security/cve/CVE-2025-3073

https://www.suse.com/security/cve/CVE-2025-3074

プラグインの詳細

深刻度: High

ID: 233985

ファイル名: openSUSE-2025-0115-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/4/8

更新日: 2025/4/8

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2025-3066

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2025-3069

脆弱性情報

CPE: cpe:/o:novell:opensuse:15.6, p-cpe:/a:novell:opensuse:chromedriver, p-cpe:/a:novell:opensuse:gn, p-cpe:/a:novell:opensuse:chromium

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/4/7

脆弱性公開日: 2025/4/1

参照情報

CVE: CVE-2025-3066, CVE-2025-3067, CVE-2025-3068, CVE-2025-3069, CVE-2025-3070, CVE-2025-3071, CVE-2025-3072, CVE-2025-3073, CVE-2025-3074