SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新:rekor(SUSE-SU-2025:1332-1)
high Nessus プラグイン ID 234607
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:1332-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- CVE-2023-45288:rekor:golang.org/x/net/http2: 受信するヘッダーが多すぎる場合の接続の切断を修正しました(bsc#1236519)
- CVE-2024-6104:rekor:hashicorp/go-retryablehttp:ログファイル内の機密情報漏洩を修正しました(bsc#1227053)
- CVE-2025-22868:rekor:golang.org/x/oauth2/jws:トークン解析中の予期しないメモリ消費を修正しました(bsc#1239191)
- CVE-2025-22869rekor:golang.org/x/crypto/ssh:Key Exchange でサービス拒否を修正しました(bsc#1239327)
- CVE-2025-27144:rekor:gopkg.in/go-jose/go-jose.v2、github.com/go-jose/go-jose/v4、github.com/go-jose/go-jose/v3:拒否を修正しましたGo JOSE の解析におけるサービスの可用性(bsc#1237638)
- CVE-2025-30204:rekor:github.com/golang-jwt/jwt/v5: ヘッダー解析中に過剰なメモリ割り当てを許可する jwt-go を修正しました(bsc#1240468)
その他の修正:
- バージョン 1.3.10 への更新:
*機能
- 追加 --client-signing-algorithms フラグ(#1974)
* の修正 / その他
- マーシャリング時に未入力の値を発行(#2438)
- pkg/api:アルゴリズムレジストリがキーを拒否するときのログを改善します(#2429)
- chore:mysql の準備状況チェックを改善します(#2397)
- 追加 --client-signing-algorithms フラグ(#1974)
- バージョンに更新してください 1.3.9 (jsc#SLE-23476):
* 非アクティブなシャードのキャッシュチェックポイント(#2332)
* シャードごとの署名キーをサポート(#2330)
- バージョン 1.3.8 への更新:
* バグ修正
- zizmor の問題を修正します(#2298)
- ログメッセージから不要な値を削除(#2282)
* 品質の強化
- chore:許可する go ディレクティブを緩和します 1.22.x
- カスタム ppa の代わりに homebrew からミニサインをフェッチします(#2329)
- fix(ci):GOVERSION 抽出を簡素化します
- chore(deps):アクションピンを最新の に更新します
- go および golangci-lint の更新(#2302)
- go1.23.4 を使用するようにビルダーを更新します(#2301)
- スペースのクリーンアップ
- デバッグを支援するための 500 エラーのリクエスト本体をログに記録します(#2283)
- バージョン 1.3.7 への更新:
* 新機能
- デバッグを支援するための 500 エラーのリクエスト本体をログに記録します(#2283)
- Tink キーセットによる署名のサポートを追加します(#2228)
- 署名付きノートの検証に公開鍵ハッシュチェックを追加(#2214)
- Trillian TLS 構成の更新(#2202)
- Trillian サーバーの TLS サポートを追加(#2164)
- 利用可能な場合、docker-compose をプラグインに置き換えます(#2153)
- バックフィルスクリプトにフラグを追加します(#2146)
- バックフィル HTTP クライアントの DisableKeepalive の設定を解除(#2137)
- Redis からインデックスを削除するスクリプトを追加します(#2120)
- バックフィルスクリプトで CREATE ステートメントを実行する(#2109)
- MySQL サポートをバックフィルスクリプトに追加します(#2081)
- mysql および redis のインデックスバックエンドで e2e テストを実行します(#2079)
* バグ修正
- ログメッセージから不要な値を削除(#2282)
- 一貫性の証明を計算する際のエラーメッセージを追加します(#2278)
- API での検証エラー処理を修正します(#2217)
- verify サブコマンドからのpretty-printed インクルージョン証明にあるエラーを修正します(#2210)
- インデックススクリプトを修正(#2203)
- 失敗するシャーディングテストを修正
- バックフィルスクリプトにおけるエラー処理を改善しました(#2148)
- クリーンアップスクリプトのバッチエントリ(#2158)
- 欠落しているインデックスクリーンアップテストのワークフローを追加(#2121)
- hashedrekord:スキーマを修正します $id (#2092)
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける rekor パッケージを更新してください。参考資料
https://bugzilla.suse.com/1227053
https://bugzilla.suse.com/1236519
https://bugzilla.suse.com/1237638
https://bugzilla.suse.com/1239191
https://bugzilla.suse.com/1239327
https://bugzilla.suse.com/1240468
https://lists.suse.com/pipermail/sle-updates/2025-April/039053.html
https://www.suse.com/security/cve/CVE-2023-45288
https://www.suse.com/security/cve/CVE-2024-6104
https://www.suse.com/security/cve/CVE-2025-22868
https://www.suse.com/security/cve/CVE-2025-22869
プラグインの詳細
深刻度: High
ID: 234607
ファイル名: suse_SU-2025-1332-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/4/18
更新日: 2025/4/18
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 4.6
現状値: 3.6
ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:N/A:N
CVSS スコアのソース: CVE-2024-6104
CVSS v3
リスクファクター: Medium
基本値: 5.5
現状値: 5
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.7
Threat Score: 7.7
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
CVSS スコアのソース: CVE-2025-30204
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:rekor, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/4/17
脆弱性公開日: 2024/4/4
参照情報
CVE: CVE-2023-45288, CVE-2024-6104, CVE-2025-22868, CVE-2025-22869, CVE-2025-27144, CVE-2025-30204
SuSE: SUSE-SU-2025:1332-1