SUSE SLES12 セキュリティ更新apache-commons-beanutilsSUSE-SU-2025:02056-1

critical Nessus プラグイン ID 240588

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES12 ホストには、SUSE-SU-2025:02056-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

1.11.0 に更新:

* 修正されたバグ

- BeanComparator.compare(T, T) は今では RuntimeException の代わりに IllegalArgumentException をスローし、ReflectiveOperationException のすべてのケースをラップします。
- MappedMethodReference.get() は、RuntimeException の代わりに IllegalStateException をスローし、NoSuchMethodException のケースをラップするようになりました。
- ResultSetIterator.get(String) は、RuntimeException の代わりに IllegalArgumentException をスローし、SQLException のケースをラップするようになりました。
- ResultSetIterator.hasNext() は、RuntimeException の代わりに IllegalStateException をスローし、SQLException のケースをラップするようになりました。
- ResultSetIterator.next() は、RuntimeException の代わりに IllegalStateException をスローし、SQLException のケースをラップするようになりました。
- ResultSetIterator.set(String, Object) は、RuntimeException の代わりに IllegalArgumentException をスローし、SQLException のケースをラップするようになりました。
- ResultSetIterator.set(String, String, Object) は、RuntimeException の代わりに IllegalArgumentException をスローし、SQLException のケースをラップするようになりました。

* 変更

- org.apache.commons.beanutils .SuppressPropertiesBeanIntrospector.SUPPRESS_DECLARING_CLASS を追加します。
bsc#1243793、CVE-2025-48734を修正します
- org.apache.commons:commons-parent を 81 から 84 へ更新します。
- commons-logging:commons-logging を 1.3.4 から 1.3.5へ更新します。

1.10.1 に更新:

* 修正されたバグ

- BEANUTILS-541fluentPropertyBeanIntrospector の並行性問題 1.Xへのバックポート #325。
- Javadoc に概要ページがありません。
- nouses ディレクティブを maven-bundle-plugin から削除します。OSGi パッケージインポートは現在、パッケージインポートに「uses」定義を使用します。これは JPMS に影響を与えませんorg.apache.commons:commons-parent:80 から。
- BeanUtils.BeanUtils() を廃止します。
- ConstructorUtils.ConstructorUtils() を廃止します。
- LocaleBeanUtils.LocaleBeanUtils() を廃止します。
- LocaleConvertUtils.LocaleConvertUtils() を廃止します。
- ConvertUtils.ConvertUtils() を廃止します。
- MethodUtils.MethodUtils() を廃止します。
- PropertyUtils.PropertyUtils() を廃止します。

* 変更

- org.apache.commons:commons-parent を 78 から 81 へ更新します。

1.10.0からの変更を含みます

* 修正されたバグ

- BEANUTILS-541fluentPropertyBeanIntrospector が破損した writeMethod をキャッシュします1.x バックポート #69。
- Locale.ENGLISH の内部使用を Locale.ROOT で置換します。
- Maven CLIRR プラグインを JApiCmp で置換します。
+ Port to Java 1.4 スロー可能な API!。
+ Java 8、17、および 21 の Javadoc 生成を修正します。
+ AbstractArrayConverter.parseElements(String) は、生のリストの代わりに、リスト<String> を返すようになりました。

* 変更

+ org.apache.commons:commons-parent を 47 から 78 へ更新します。
+ Java 要件を Java 6 から 8 へ更新します。
+ junit:junit を 4.12 から 4.13.2へ更新します。
+ JUnit を 4.x から 5.x 'vintage' へ更新。
+ commons-logging:commons-logging を 1.2 から 1.3.4へ更新します。
+ 削除のための BeanUtilsBean.initCause(Throwable, Throwable) を廃止し、Throwable.initCause(Throwable) を使用してください。
+ 削除のための BeanUtils.initCause(Throwable, Throwable) を廃止し、Throwable.initCause(Throwable) を使用します。

1.9.4 に更新:

* BEANUTILS-520BeanUtils は、 を緩和します CVE-2014-0114

1.9.3 に更新しました

* これは、Java 8 での構築のためのテストも改善するバグ修正リリースです。
* Java 8 以降は java.util.List 上のインデックス付き Bean プロパティをサポートしなくなり、String[] のような配列のみをサポートすることに注意してください。
BEANUTILS-492。これは PropertyUtils.getPropertyType() および PropertyUtils.getPropertyDescriptor() に影響を与えます。このため、javadoc が更新され、JDK のこの変更が反映されています。

* このバージョンには次の変更が含まれます

- 修正されたバグ

* BEANUTILS-477FluentPropertyBeanIntrospector のログレベルを変更しました
* BEANUTILS-492DynaBeans でインデックス付きプロパティを設定する際の例外を修正しました。
* BEANUTILS-470BigDecimal を変換する際に精度が失われます。
* BEANUTILS-465インデックス付きリストセッターが修正されました。

- 変更

* BEANUTILS-433Junit から 3.8.14.12への依存関係を更新します。
* BEANUTILS-469commons-logging を 1.1.1 から 1.2へ更新します。
* BEANUTILS-474fluentPropertyBeanIntrospector は、DefaultBeanIntrospector と同じ命名アルゴリズムを使用しません。
* BEANUTILS-490Java の要件を Java 5 から 6 に更新します。
* BEANUTILS-482commons-collections を 3.2.1 から 3.2.2 へ更新しますCVE-2015-4852
* BEANUTILS-490java の要件を Java 6 に更新します。
* BEANUTILS-492IndexedPropertyDescriptor テストが Java 8 でパスするようになりました。
* BEANUTILS-495DateConverterTestBase は Java 9 の M/d/yy で失敗します。
* BEANUTILS-496testGetDescriptorInvalidBoolean が Java 9 で失敗します。
- 変更の履歴リスト
http://commons.apache.org/proper/commons-beanutils/changes-report.html

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるapache-commons-beanutilsパッケージやapache-commons-beanutils-javadocパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1243793

https://lists.suse.com/pipermail/sle-updates/2025-June/040424.html

https://www.suse.com/security/cve/CVE-2014-0114

https://www.suse.com/security/cve/CVE-2015-4852

https://www.suse.com/security/cve/CVE-2025-48734

プラグインの詳細

深刻度: Critical

ID: 240588

ファイル名: suse_SU-2025-02056-1.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2025/6/26

更新日: 2025/6/26

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2015-4852

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:apache-commons-beanutils, p-cpe:/a:novell:suse_linux:apache-commons-beanutils-javadoc, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/6/20

脆弱性公開日: 2014/4/29

CISA の既知の悪用された脆弱性の期限日: 2022/5/3

参照情報

CVE: CVE-2014-0114, CVE-2015-4852, CVE-2025-48734

SuSE: SUSE-SU-2025:02056-1