SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新:cosign(SUSE-SU-2025:1333-1)
high Nessus プラグイン ID 234602
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:1333-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- CVE-2024-6104:cosign:hashicorp/go-retryablehttp:ログファイルに対する機密情報の漏洩を修正しました(bsc#1227031)
- CVE-2024-51744:cosign:github.com/golang-jwt/jwt/v4:潜在的に危険な状況につながる ParseWithClaims のエラー処理の不適切な文書を修正しました(bsc#1232985)
- CVE-2025-27144:cosign:github.com/go-jose/go-jose/v4,github.com/go-jose/go-jose/v3:Go JOSE の解析におけるサービス拒否を修正しました(bsc#1237682)
- CVE-2025-22870:cosign: golang.org/x/net/proxy:IPv6 ゾーン ID を使用するプロキシバイパスを修正しました(bsc#1238693)
- CVE-2025-22868:cosign: golang.org/x/oauth2/jws: トークン解析中の予期しないメモリ消費を修正しました(bsc#1239204)
- CVE-2025-22869:cosign:golang.org/x/crypto/ssh: 鍵交換でサービス拒否を修正しました(bsc#1239337)
その他の修正:
- バージョンに更新してください 2.5.0 (jsc#SLE-23476):
* sigstore-go を更新し、バグ修正を採用(#4150)
* golangci-lint を v2 に更新し、golangci-lint-action を更新します(#4143)
* Feat/non ファイル名の補完(#4115)
* go1.24.1 を使用するようにビルダーを更新します(#4116)
* OCI イメージ認証を認証/検証するための新しいバンドル仕様のサポートを追加(#3889)
* 証明書のログ行を削除(#4113)
* cmd/cosign/cli:ignoreTLogMessage の誤字を修正します(#4111)
* テスト用の最新の scaffolding リリースへの更新(#4099)
* 2e2_test docker composetiemout を 180 秒に増加(#4091)
* 準拠のイメージ mediatype への置換を修正(#4077)
* 相互署名認証用の TSA 証明書関連のフラグおよびフィールドを追加(#4079)
- バージョンに更新してください 2.4.3 (jsc#SLE-23476):
* リモート get なしでの署名のフェッチを有効にします。 (#4047)
* KMS プラグインをサポートするために sigstore/sigstore を更新します(#4073)
* Go インポートを適切にソート(#4071)
* コメントを関数シグネチャのパラメーター名と同期(#4063)
* go インポートの順序がアルファベット順になるように修正します(#4062)
* コメントの誤字とインポート順序を修正します(#4061)
* Feat/ファイルフラグの完了の改善(#4028)
* go1.23.6 を使用するための Udpate ビルダー(#4052)
* verifyNewBundle をライブラリ関数にリファクタリングします(#4013)
* 符号コピーの --only にある解析エラーを修正します(#4049)
* codeowners 構文を修正し、dep-maintainers を追加します(#4046)
- バージョンに更新してください 2.4.2 (jsc#SLE-23476):
- open-policy-agent を 1.1.0 ライブラリに更新しました(#4036)
- 現時点では、Rego v0 ポリシーのみがサポートされています。
- UseSignedTimestamps を CheckOpts に追加し、TSA オプションをリファクタリングします(#4006)
- cosign 初期化の root チェックサムを検証するためのサポートを追加します(#3953)
- ユーザーが有効な protobuf バンドルを提供したかどうかを検出(#3931)
- ユーザーが提供しない場合、ログメッセージを追加します --trusted-root (#3933)
- コンテナレジストリに対する mTLS をサポートします(#3922)
-bundle create ヘルパーコマンドを追加します(#3901)
- trusted-root create ヘルパーコマンドを追加(#3876)バグ修正:
- 修正:デフォルトの http トランスポートから他のフィールドを保持しながら tls 構成を設定(#4007)
- ポリシーファザー:既知のパニックを無視(#3993)
- 複数の WithRemote オプションの修正(#3982)
- 毎晩のコンフォーマンステストワークフローを追加(#3979)
- 署名のコピーを修正 --only + ドキュメントを更新/整列(#3904)
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける cosign パッケージを更新してください。参考資料
https://bugzilla.suse.com/1227031
https://bugzilla.suse.com/1232985
https://bugzilla.suse.com/1237682
https://bugzilla.suse.com/1238693
https://bugzilla.suse.com/1239204
https://bugzilla.suse.com/1239337
https://lists.suse.com/pipermail/sle-updates/2025-April/039052.html
https://www.suse.com/security/cve/CVE-2024-51744
https://www.suse.com/security/cve/CVE-2024-6104
https://www.suse.com/security/cve/CVE-2025-22868
https://www.suse.com/security/cve/CVE-2025-22869
プラグインの詳細
深刻度: High
ID: 234602
ファイル名: suse_SU-2025-1333-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/4/18
更新日: 2025/4/18
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 4.6
現状値: 3.4
ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:N/A:N
CVSS スコアのソース: CVE-2024-6104
CVSS v3
リスクファクター: Medium
基本値: 5.5
現状値: 4.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.7
Threat Score: 6.6
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
CVSS スコアのソース: CVE-2025-27144
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:cosign, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/4/17
脆弱性公開日: 2024/6/24
参照情報
CVE: CVE-2024-51744, CVE-2024-6104, CVE-2025-22868, CVE-2025-22869, CVE-2025-22870, CVE-2025-27144
SuSE: SUSE-SU-2025:1333-1