検出

SUSE SLES15 / openSUSE 15 セキュリティ更新tomcat11SUSE-SU-2025:02992-1

high Nessus プラグイン ID 258057

Language:

概要

リモートの SUSE ホストにセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:02992-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 Tomcat に更新しました 11.0.10
 - CVE-2025-48989クライアントがトリガーしたストリームリセットによる HTTP/2 の「MakeYourReset」DoS を修正しましたbsc#1243895

 その他の修正:
 * Catalina
 - 修正1 つ以上の JAR ファイルが含まれるパックされた WAR を使用する際のアーカイブインデックス作成のブルームフィルター実装を修正。 markt
 * Coyote
 - 修正69748HTTP/1.1 を使用する際のキープアライブタイムアウトを設定するために不足している呼び出しを追加します。これは、AJP に存在していました。
 remm/markt
 - 修正69762整数の HPACK デコード中の潜在的なオーバーフローを修正します。
 HPACK デコードされた整数の最大許可値は Integer.MAX_VALUE です。 markt
 - 修正 HTTP/2 オーバーヘッドのドキュメント特にコードコメントを更新して、PRIORITY フレームの廃止を反映し、ストリームのリセットが常にオーバーヘッドの増加をトリガーすることを明確にします。
 (markt)
 * クラスタ
 - 更新DeltaManager 用の enableStatistics 構成属性を追加し、デフォルトで true にします。 remm
 * WebSocket
 - 修正WebSocket クライアント接続の WebSocket 拡張処理を WebSocket サーバー接続と合わせて調整します。WebSocket クライアントがその拡張をサポートする場合、WebSocket クライアントは開くハンドシェイクでエンドポイントによってリクエストされた拡張だけを含むようになりました。
 (markt)
 * ウェブアプリケーション
 - 修正Manager and Host Manager。存在しない、または全く異なるものを表している ROOT Web アプリケーションからのファイルを使用するのではなく、専用の favicon ファイルを使用する Manager および Host Manager Web アプリケーションを提供します。Simon Arme 氏によるプルリクエスト #876 および #878 。
 * その他
 - 更新: Checkstyle を 10.26.1 に更新しました。(markt)
 - 追加: フランス語の翻訳の改善。(remm)
 - 追加: tak7iji による日本語翻訳の改善。(markt)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1243895

https://lists.suse.com/pipermail/sle-updates/2025-August/041365.html

https://www.suse.com/security/cve/CVE-2025-48989

プラグインの詳細

深刻度: High

ID: 258057

ファイル名: suse_SU-2025-02992-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/8/28

更新日: 2025/8/28

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2025-48989

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:tomcat11-jsp-4_0-api, p-cpe:/a:novell:suse_linux:tomcat11-el-6_0-api, p-cpe:/a:novell:suse_linux:tomcat11-admin-webapps, p-cpe:/a:novell:suse_linux:tomcat11-servlet-6_1-api, p-cpe:/a:novell:suse_linux:tomcat11, p-cpe:/a:novell:suse_linux:tomcat11-webapps, p-cpe:/a:novell:suse_linux:tomcat11-lib, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/8/27

脆弱性公開日: 2025/8/6

参照情報

CVE: CVE-2025-48989

IAVA: 2025-A-0582

SuSE: SUSE-SU-2025:02992-1