検出

SUSE SLES15 / openSUSE 15 セキュリティ更新 : helm (SUSE-SU-2025:02121-1)

medium Nessus プラグイン ID 240738

Language:

概要

リモートの SUSE ホストにセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:02121-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 バージョン 3.18.3 への更新:

 * build(deps)golang.org/x/crypto を 0.38.0 から 0.39.0 6838ebc へ更新dependabot[bot]
 * 修正ログイン 5b9e2f6 のユーザーユーザー名パスワードTerry Howe 氏
 * pkg/registry/transport.go 2782412 を更新しますTerry Howe 氏
 * pkg/registry/transport.go e66cf6a を更新Terry Howe 氏
 * 修正oci トランスポート 191f05c へデバッグロギングを追加しますTerry Howe 氏

 バージョン 3.18.2 への更新:

 * 修正ログイン 04cad46 でレガシー docker サポートが破損Terry Howe 氏
 * 空のレジストリ構成ファイルを処理します。 bc9f8a2Matt Farina 氏

 バージョン 3.18.1 への更新:

 * 注意

 - このリリースでは、 でのテンプレート生成と OCI レジストリの相互作用に関する回帰が修正されます。 3.18.0
 - このリリースには、対処されていない既知の回帰が少なくとも 2 つあります。これらは作業中です。
 - 空のレジストリ設定ファイル。ファイルが存在するが空の場合
 - 一部のドメインで Docker Hub にログインできません。

 * 変更ログ

 - 修正クライアントPreCopy の skipnode 使用率
 - 修正クライアントレイヤーレイヤーがマニフェストを返すようになりました - 記述子から重複を削除します
 - 修正client許可されていないメディアタイプで nil を返します
 - メソッドを呼び出すときのように、newReference を再度フェッチしないようにします
 - oras メモリストアのバージョンタグを解決する際の不具合を防止します
 - pkg/plugin/plugin.go を更新
 - pkg/plugin/plugin.go を更新
 - platformCommand および Command が設定されている場合、起動する前に Helm v4 が待機します
 - 修正 3.18.0 回帰スキームによるレジストリログイン
 - 「修正helm: toToml` renders int as float [backport to v3 ]」を戻します

 バージョン 3.18.0 への更新 (bsc#1241802、CVE-2025-22872)

 * 重要な変更点

 - JSON Schema 2020 のサポートを追加します
 - cpu およびメモリプロファイリングを有効化しました
 - エラー時にクライアントにフックログを出力するためにフックアノテーションを追加します

 * 変更ログ

 - build(deps)k8s-io グループを 7 つの更新で更新します
 - 修正govulncheck ワークフロー
 - v3.18.0 にバージョンを更新
 - 修正mTLS が構成される際にプロキシサポートを追加します
 - docsOCI レジストリの http フォールバックに関する注意事項
 - dev-v3 で CVE を回避するために net パッケージを更新します
 - toml を更新します
 - #30677を dev3 にバックポートします
 - build(deps)github.com/rubenv/sql-migrate を 1.7.2 から 1.8.0へ更新します
 - MakeOwnership フラグのインストールテストを追加
 - --take-ownershipの修正
 - build(deps)github.com/rubenv/sql-migrate を 1.7.1 から 1.7.2へ更新します
 - build(deps)golang.org/x/crypto を 0.36.0 から 0.37.0へ更新します
 - build(deps)golang.org/x/term を 0.30.0 から 0.31.0へ更新します
 - テキストバンプのテスト
 - だけでなく、より多くの Go バージョンを許可します 1.23.8
 - github.com/distribution/distribution/v3 を 3.0.0-rc.3 から へ更新します 3.0.0
 - アーカイブ解除の修正
 - 誤字を修正します
 - デバッグログとしてレポートする、リソースの待機に要した時間
 - build(deps)github.com/containerd/containerd を 1.7.26 から 1.7.27へ更新します
 - pkg/registry/fallback.go を更新します
 - http への自動フォールバック
 - chore(oci)ORAS v2 にアップグレードしてください
 - x/net 用の への更新 0.37.0
- build(deps)k8s-io グループを 7 つの更新で更新します
 - build(deps)golang.org/x/crypto を 0.35.0 から 0.36.0へ更新します
 - build(deps)github.com/opencontainers/image-spec を更新します
 - build(deps)github.com/containerd/containerd を 1.7.25 から 1.7.26へ更新します
 - build(deps)golang.org/x/crypto を 0.33.0 から 0.35.0へ更新します
 - 慎重に選択された helm.sh/helm/v4 -> helm.sh/helm/v3 を修正します
 - HookOutputFunc および汎用 yaml unmarshaller を追加
 - 修正エラーメッセージを明確にします
 - エラーチェックを修正
 - 短絡リターンの追加
 - 成功および失敗時にポッドログをクライアントに出力するためにフックアノテーションを追加します
 - chore[]string の代わりに []error を使用します
 - cmd/helm/profiling.go を更新します
 - choreCONTRIBUTING.md の中のプロファイル doc を更新します
 - COTRIBUTING ガイドを更新
 - CLI フラグに環境変数を優先します
 - pprof パスを HELM_PPROF env 変数へ移動します
 - feedCPU とメモリのプロファイリングを有効にするためにフラグを追加します
 - build(deps)github.com/distribution/distribution/v3 を更新します
 - build(deps)github.com/spf13/cobra を 1.8.1 から 1.9.1へ更新します
 - Cobra の SetOut および SetErr への移行
 - build(deps)k8s-io グループを 7 つの更新で更新します
 - build(deps)golang.org/x/crypto を 0.32.0 から 0.33.0へ更新します
 - build(deps)golang.org/x/term を 0.28.0 から 0.29.0へ更新します
 - build(deps)golang.org/x/text を 0.21.0 から 0.22.0へ更新します
 - build(deps)github.com/spf13/pflag を 1.0.5 から 1.0.6へ更新します
 - build(deps)github.com/cyphar/filepath-securejoin を更新します
 - build(deps)github.com/evanphx/json-patch が更新されます
 - build(deps)k8s-io グループを 7 つの更新で更新します
 - 修正リソース情報が一致するかどうかグループをチェックします
 - github.com/cyphar/filepath-securejoin を 0.3.6 から 0.4.0へ更新
 - ネスト化されたグローバル値を無効化するためのテストを追加します
 - securejoin に渡す前にファイルパスがクリーンであることを確認
 - github.com/containerd/containerd を 1.7.24 から 1.7.25へ更新します
 - golang.org/x/crypto を 0.31.0 から 0.32.0へ更新します
 - golang.org/x/term を 0.27.0 から 0.28.0へ更新します
 - v3.17.0 にバージョンを更新
 - github.com/moby/term を 0.5.0 から 0.5.2へ更新します
 - オブジェクト全体を削除するためのテストケースを追加します
 - バグ修正のためのテストnull 値でサブチャートをオーバーライドします #12879
 - featurev3 にマルチプラットフォームプラグインフックサポートを追加しました
 - このコミットでは、yaml.Unmarshaller がすべての int 値を float64 に変換する問題を修正します。これは、オプションでデコーダーに渡され、int から への変換が可能になります。
 - null 子チャートオブジェクトをマージ

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける helm、helm-bash-completion、helm-fish-completion、helm-zsh-completion パッケージを更新してください。

参考資料

https://lists.suse.com/pipermail/sle-updates/2025-June/040492.html

https://www.suse.com/security/cve/CVE-2025-22872

https://bugzilla.suse.com/1241802

プラグインの詳細

深刻度: Medium

ID: 240738

ファイル名: suse_SU-2025-02121-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/6/27

更新日: 2025/6/27

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.0

CVSS v2

リスクファクター: Medium

基本値: 5.1

現状値: 3.8

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2025-22872

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 5.3

Threat Score: 1.3

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:helm, p-cpe:/a:novell:suse_linux:helm-zsh-completion, p-cpe:/a:novell:suse_linux:helm-fish-completion, p-cpe:/a:novell:suse_linux:helm-bash-completion, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/6/26

脆弱性公開日: 2025/3/27

参照情報

CVE: CVE-2025-22872

SuSE: SUSE-SU-2025:02121-1