SUSE SLES15 / openSUSE 15 セキュリティ更新 : Multi-Linux Manager Client Tools (SUSE-SU-2025:01989-1)
critical Nessus プラグイン ID 240840
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES15 / openSUSE 15 ホストには、SUSE-SU-2025:01989-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。golang-github-prometheus-prometheus はバージョン 2.53.4 に更新されました:
- 修正されたセキュリティ問題:
* CVE-2023-45288: ビルドには Go >= 1.23 が必要です (bsc#1236516)
* CVE-2025-22870: golang.org/x/net をバージョン 0.39.0 に更新しました (bsc#1238686)
- バージョン 2.53.4 からのその他のバグ修正:
* Runtime: 空の prometheus.yml ファイルでインストールした場合に GOGC が 0 に設定され、高い CPU 使用率が発生する問題を修正
* Scrape: 前回のスクレイプが失敗した後に、有効なメトリクスが破棄される問題を修正
prometheus-blackbox_exporter がバージョン 0.24.0 から 0.26.0 に更新されました (jsc#PED-12872):
- 修正されたセキュリティ問題:
* CVE-2025-22870: IPv6 ゾーン ID を使用するプロキシバイパスを修正 (bsc#1238680)
- CVE-2023-45288: 過剰なヘッダー受信時に接続が閉じられる問題を修正 (bsc#1236515)
- バージョン 0.26.0 からのその他の変更:
* 変更:
- go-kit/log を log/slog モジュールに置き換え。
* 機能:
- ハンドシェイク中に交渉された TLS 暗号スイートを記録するメトリクスを追加
- プローブにより一致したコンテンツ付きラベルをエクスポートする方法を追加
証明書シリアル番号を報告
* 拡張機能:
- Prometheus で stale.yaml を使って同期を開始する stale ワークフローを追加
* バグ修正:
- ハンドシェイク成功時のみ grpc TLS メトリクスを登録
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるprometheus-blackbox_exporterパッケージを更新してください。参考資料
https://bugzilla.suse.com/1236510
https://bugzilla.suse.com/1236515
https://bugzilla.suse.com/1236516
https://bugzilla.suse.com/1238680
https://bugzilla.suse.com/1238686
https://bugzilla.suse.com/1208752
https://bugzilla.suse.com/1231844
https://bugzilla.suse.com/1233343
https://lists.suse.com/pipermail/sle-updates/2025-June/040349.html
https://www.suse.com/security/cve/CVE-2023-45288
https://www.suse.com/security/cve/CVE-2024-9264
https://www.suse.com/security/cve/CVE-2024-9476
https://www.suse.com/security/cve/CVE-2025-22870
https://www.suse.com/security/cve/CVE-2025-22872
https://www.suse.com/security/cve/CVE-2025-2703
https://www.suse.com/security/cve/CVE-2025-29923
https://www.suse.com/security/cve/CVE-2025-3454
https://bugzilla.suse.com/1241809
https://bugzilla.suse.com/1243672
https://bugzilla.suse.com/1243714
https://bugzilla.suse.com/1238703
プラグインの詳細
深刻度: Critical
ID: 240840
ファイル名: suse_SU-2025-01989-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/6/27
更新日: 2025/6/27
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9
現状値: 7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2024-9264
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
リスクファクター: Critical
Base Score: 9.4
Threat Score: 8.6
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:prometheus-blackbox_exporter, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/6/18
脆弱性公開日: 2024/4/4
参照情報
CVE: CVE-2023-45288, CVE-2024-9264, CVE-2024-9476, CVE-2025-22870, CVE-2025-22872, CVE-2025-2703, CVE-2025-29923, CVE-2025-3454
SuSE: SUSE-SU-2025:01989-1