SUSE SLES12 セキュリティ更新apache-commons-beanutilsSUSE-SU-2025:02056-1
critical Nessus プラグイン ID 240588
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES12 ホストには、SUSE-SU-2025:02056-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。1.11.0 に更新:
* 修正されたバグ
- BeanComparator.compare(T, T) は今では RuntimeException の代わりに IllegalArgumentException をスローし、ReflectiveOperationException のすべてのケースをラップします。
- MappedMethodReference.get() は、RuntimeException の代わりに IllegalStateException をスローし、NoSuchMethodException のケースをラップするようになりました。
- ResultSetIterator.get(String) は、RuntimeException の代わりに IllegalArgumentException をスローし、SQLException のケースをラップするようになりました。
- ResultSetIterator.hasNext() は、RuntimeException の代わりに IllegalStateException をスローし、SQLException のケースをラップするようになりました。
- ResultSetIterator.next() は、RuntimeException の代わりに IllegalStateException をスローし、SQLException のケースをラップするようになりました。
- ResultSetIterator.set(String, Object) は、RuntimeException の代わりに IllegalArgumentException をスローし、SQLException のケースをラップするようになりました。
- ResultSetIterator.set(String, String, Object) は、RuntimeException の代わりに IllegalArgumentException をスローし、SQLException のケースをラップするようになりました。
* 変更
- org.apache.commons.beanutils .SuppressPropertiesBeanIntrospector.SUPPRESS_DECLARING_CLASS を追加します。
bsc#1243793、CVE-2025-48734を修正します
- org.apache.commons:commons-parent を 81 から 84 へ更新します。
- commons-logging:commons-logging を 1.3.4 から 1.3.5へ更新します。
1.10.1 に更新:
* 修正されたバグ
- BEANUTILS-541fluentPropertyBeanIntrospector の並行性問題 1.Xへのバックポート #325。
- Javadoc に概要ページがありません。
- nouses ディレクティブを maven-bundle-plugin から削除します。OSGi パッケージインポートは現在、パッケージインポートに「uses」定義を使用します。これは JPMS に影響を与えませんorg.apache.commons:commons-parent:80 から。
- BeanUtils.BeanUtils() を廃止します。
- ConstructorUtils.ConstructorUtils() を廃止します。
- LocaleBeanUtils.LocaleBeanUtils() を廃止します。
- LocaleConvertUtils.LocaleConvertUtils() を廃止します。
- ConvertUtils.ConvertUtils() を廃止します。
- MethodUtils.MethodUtils() を廃止します。
- PropertyUtils.PropertyUtils() を廃止します。
* 変更
- org.apache.commons:commons-parent を 78 から 81 へ更新します。
1.10.0からの変更を含みます
* 修正されたバグ
- BEANUTILS-541fluentPropertyBeanIntrospector が破損した writeMethod をキャッシュします1.x バックポート #69。
- Locale.ENGLISH の内部使用を Locale.ROOT で置換します。
- Maven CLIRR プラグインを JApiCmp で置換します。
+ Port to Java 1.4 スロー可能な API!。
+ Java 8、17、および 21 の Javadoc 生成を修正します。
+ AbstractArrayConverter.parseElements(String) は、生のリストの代わりに、リスト<String> を返すようになりました。
* 変更
+ org.apache.commons:commons-parent を 47 から 78 へ更新します。
+ Java 要件を Java 6 から 8 へ更新します。
+ junit:junit を 4.12 から 4.13.2へ更新します。
+ JUnit を 4.x から 5.x 'vintage' へ更新。
+ commons-logging:commons-logging を 1.2 から 1.3.4へ更新します。
+ 削除のための BeanUtilsBean.initCause(Throwable, Throwable) を廃止し、Throwable.initCause(Throwable) を使用してください。
+ 削除のための BeanUtils.initCause(Throwable, Throwable) を廃止し、Throwable.initCause(Throwable) を使用します。
1.9.4 に更新:
* BEANUTILS-520BeanUtils は、 を緩和します CVE-2014-0114
1.9.3 に更新しました
* これは、Java 8 での構築のためのテストも改善するバグ修正リリースです。
* Java 8 以降は java.util.List 上のインデックス付き Bean プロパティをサポートしなくなり、String[] のような配列のみをサポートすることに注意してください。
BEANUTILS-492。これは PropertyUtils.getPropertyType() および PropertyUtils.getPropertyDescriptor() に影響を与えます。このため、javadoc が更新され、JDK のこの変更が反映されています。
* このバージョンには次の変更が含まれます
- 修正されたバグ
* BEANUTILS-477FluentPropertyBeanIntrospector のログレベルを変更しました
* BEANUTILS-492DynaBeans でインデックス付きプロパティを設定する際の例外を修正しました。
* BEANUTILS-470BigDecimal を変換する際に精度が失われます。
* BEANUTILS-465インデックス付きリストセッターが修正されました。
- 変更
* BEANUTILS-433Junit から 3.8.14.12への依存関係を更新します。
* BEANUTILS-469commons-logging を 1.1.1 から 1.2へ更新します。
* BEANUTILS-474fluentPropertyBeanIntrospector は、DefaultBeanIntrospector と同じ命名アルゴリズムを使用しません。
* BEANUTILS-490Java の要件を Java 5 から 6 に更新します。
* BEANUTILS-482commons-collections を 3.2.1 から 3.2.2 へ更新しますCVE-2015-4852
* BEANUTILS-490java の要件を Java 6 に更新します。
* BEANUTILS-492IndexedPropertyDescriptor テストが Java 8 でパスするようになりました。
* BEANUTILS-495DateConverterTestBase は Java 9 の M/d/yy で失敗します。
* BEANUTILS-496testGetDescriptorInvalidBoolean が Java 9 で失敗します。
- 変更の履歴リスト
http://commons.apache.org/proper/commons-beanutils/changes-report.html
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるapache-commons-beanutilsパッケージやapache-commons-beanutils-javadocパッケージを更新してください。参考資料
https://bugzilla.suse.com/1243793
https://lists.suse.com/pipermail/sle-updates/2025-June/040424.html
https://www.suse.com/security/cve/CVE-2014-0114
プラグインの詳細
深刻度: Critical
ID: 240588
ファイル名: suse_SU-2025-02056-1.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/6/26
更新日: 2025/6/26
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 8.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2015-4852
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.4
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:apache-commons-beanutils, p-cpe:/a:novell:suse_linux:apache-commons-beanutils-javadoc, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/6/20
脆弱性公開日: 2014/4/29
CISA の既知の悪用された脆弱性の期限日: 2022/5/3
参照情報
CVE: CVE-2014-0114, CVE-2015-4852, CVE-2025-48734
SuSE: SUSE-SU-2025:02056-1