検出

プラグイン

SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新 : go1.23-openssl (SUSE-SU-2025:03159-1)

critical Nessus プラグイン ID 264605

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:03159-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

go1.23.12-1-openssl-fips とタグ付けされたリビジョンの go1.23-fips-release ブランチから切り取った、バージョン 1.23.12 に更新してください。 jsc#SLE-18320

* へのリベース 1.23.12
* HKDF-Extract の修正 c9s/c10s の最新の OpenSSL では、nil salt をゼロのハッシュ長バッファとして渡す必要があります。

パッケージングの改善:

* go_bootstrap_version を go1.20 から go1.21 に更新し、ブートストラップチェーンを短くします。 go1.21 は、オプションで gccgo でブートストラップし、go1.x の初期バージョンとして機能することができます。
* を参照 boo#1247816 gccgo のあるブートストラップ go1.21

go1.23.12 (2025 年 8 月 6 日リリース) には、database/sql および os/exec パッケージへのセキュリティ修正と、runtime へのバグ修正が含まれています。

CVE-2025-47906 CVE-2025-47907:
* go#74803 go#74466 boo#1247719 セキュリティ修正 CVE-2025-47906 os/execLookPath バグ「」、「.」の不適切な拡張一部の PATH 構成の「..」
* go#74832 go#74831 boo#1247720 セキュリティ[] を修正します CVE-2025-47907 database/sqlRows.Scan から返される結果が正しくありません

* go#74415 runtimefindRunnable の allpSnapshot の use-after-free
* go#74693 runtimeruntime.(*unwinder).next のセグメンテーション違反
* go#74721 cmd/goTestScript/build_trimpath_cgo が release-branch.go1.23 の dwarf をデコードできません
* go#74726 cmd/cgo/internal/testsanitizersシグナルの失敗セグメンテーション違反または終了ステータス 66

go1.23.11 (2025 年 7 月 8 日リリース) には、go コマンドのセキュリティ修正プログラムと、コンパイラ、リンカー、ランタイムのバグ修正が含まれています。

CVE-2025-4674:
* go#74382 go#74380 boo#1246118 セキュリティ[] を修正します CVE-2025-4674 cmd/go1 つのモジュールで複数の vcs のサポートを無効にします

* go#73907 runtimeduffcopy 中のパニックにおける不良フレームポインター
* go#74289 ランタイムヒープ mspan 制限の設定が遅すぎ、スパン割り当てと保守的スキャンの間でデータ競合が発生します
* go#74293 internal/traceトレーサーで潜在的なデッドロックを発生させるストレステスト
* go#74362 runtime/pprofgroutine プロファイルで「cannot read stack of running goroutine実行中のスタックを読み取れません」をクラッシュさせます
* go#74402 cmd/linkASAN で実行する際に、シンボル github.com/ebitengine/purego.syscall15XABI0 の定義が重複しています

go1.23.10 (2025 年 6 月 5 日リリース) には、net/http および os パッケージへのセキュリティ修正ならびにリンカーへのバグ修正が含まれています。boo#1229122 go1.23 リリース追跡

CVE-2025-0913 CVE-2025-4673:
* go#73719 go#73612 boo#1244157 セキュリティ CVE-2025-0913 os を修正Unix および Windows での O_CREATE|O_EXCL の一貫性のない処理
* go#73905 go#73816 boo#1244156 セキュリティ CVE-2025-4673 net/http を修正しますクロスオリジンリダイレクトで機密ヘッダーがクリアされません

* go#73677 ランタイム/デバッグBuildSetting が DefaultGODEBUG をドキュメント化しません
* go#73831 cmd/linkGo 1.24.3 および 1.23.9 の回帰 - シンボル dlopen の重複した定義

go1.23.9 (2025 年 5 月 6 日リリース) には、ランタイムおよびリンカーへの修正が含まれています。boo#1229122 go1.23 リリース追跡

* go#73091 cmd/linkユーザー空間変数の linkname ディレクティブが runtime 変数をオーバーライドする可能性があります
* go#73380 runtime、x/sys/unixConnectx が darwin/amd64 で破損しています

go1.23.8 (2025 年 4 月 1 日リリース) には、net/http パッケージへのセキュリティ修正ならびに runtime および go コマンドへのバグ修正が含まれています。

CVE-2025-22871:
* go#72010 go#71988 boo#1240550 セキュリティ CVE-2025-22871 を修正します net/httpチャンクされたエンコーディングでベア LF を拒否します

* go#72114 runtimemips ハードウェアのプロセスがハングします
* go#72871 runtimeネスト化された cgo コールバックが返された後に外部コードとして扱われる余分な M での cgo コールバック
* go#72937 internal/godebugswinsymlink と winreadlinkvolume に Go の不適切なデフォルトがあります 1.22

go1.23.7 (2025 年 3 月 4 日リリース) には、net/http パッケージへのセキュリティ修正ならびに cgo、コンパイラ、および反映、runtime、および syscall パッケージへのバグ修正が含まれています。

CVE-2025-22870:
* go#71985 go#71984 boo#1238572 セキュリティ: 修正 CVE-2025-22870 net/http、x/net/proxy、x/net/http/httpproxy: IPv6 ゾーン ID を使用したプロキシバイパス

* go#71727 runtime: usleep が s390x で不適切な tv_nsec を計算します
* go#71839 runtime: range-over-func ループ本体に追加された回復がパニック伝播を停止しません/セグメンテーション違反印刷エラー
* go#71848 os: 実行中の子プロセスでの偽造の SIGCHILD
* go#71875 Reflect: 関数型反復子メソッドの Value.Seq パニック
* go#71915 Reflect: Value.Seq 反復値のタイプが、指定された int タイプのタイプと一致しません
* go#71962 runtime/cgo: -Wdeclaration-after-statement でビルドしません

go1.23.6 (2025 年 2 月 4 日リリース) には、crypto/elliptic パッケージへのセキュリティ修正ならびにコンパイラおよび go コマンドへのバグ修正が含まれています。

CVE-2025-22866
* go#71423 go#71383 boo#1236801 セキュリティ CVE-2025-22866 crypto/internal/fips140/nistec を修正しますp256NegCond は ppc64le の変数時間です

* go#71263 cmd/go/internal/modfetch/codehostテストは git で失敗します 2.47.1
* go#71230 cmd/compile破損したライトバリア

go1.23.5 (2025 年 1 月 16 日リリース) には、crypto/x509 および net/http パッケージへのセキュリティ修正ならびにコンパイラ、ランタイム、および net パッケージへのバグ修正が含まれています。

CVE-2024-45341 CVE-2024-45336:
* go#71208 go#71156 boo#1236045 セキュリティ修正 CVE-2024-45341 crypto/x509IPv6 ゾーン ID の使用により、URI 名の制限がバイパスされる可能性があります
* go#71211 go#70530 boo#1236046 セキュリティ CVE-2024-45336 net/httpクロスドメインリダイレクト後に機密ヘッダーが不適切に送信されるのを修正します

* go#69988 runtimego1.22.5 での cgo 呼び出しの深刻なパフォーマンス低下
* go#70517 cmd/compile/internal/importerエイリアスを真に反転、
* go#70789 osMacOS の io.Copy(net.Conn, os.Stdin) は、入力を待機せずに直ちに終了します
* go#71104 crypto/tlsTestVerifyConnection/TLSv12 の失敗
* go#71147 internal/traceTraceCPUProfile/Stress の失敗

go1.23.4 (2024 年 12 月 3 日リリース) には、コンパイラ、ランタイム、trace コマンド、syscall パッケージに対する修正が含まれています。

* go#70644 crypto/rsa新しい鍵の生成が競合検知で非常に遅くなります
* go#70645 提案go/typescope.Node 便利ゲッターを追加します
* go#70646 x/tools/goplsインポートされていない完了により、インポート decl が破損されますclient=BBEdit
* go#70648 crypto/tlsTestHandshakeClientECDHEECDSAAESGCM/TLSv12 の失敗
* go#70649 x/benchmarks/ sweet/cmd/ sweetTestSweetEndToEnd の失敗
* go#70650 crypto/tlsTestGetClientCertificate/TLSv13 の失敗
* go#70651 x/tools/go/gcexportdatago >= を想定して実装を簡素化します 1.21
* go#70654 cmd/gogo リストからの不適切な出力
* go#70655 x/build/cmd/relui残りの一部の手動での継続的な Go メジャーリリースサイクルタスク用のワークフローを追加
* go#70657 提案bufioScanner.IterText/Scanner.IterBytes
* go#70658 x/net/http2拡張 CONNECT リクエストがスタックしていた
* go#70659 oslinux-mips64 および linux-mips64le arch-mips での TestRootDirFS の失敗
* go#70660 crypto/ecdsas390x での TestRFC6979 の失敗
* go#70664 x/mobileターゲット macatalyst が OpenGLES ヘッダーを見つけられません
* go#70665 x/tools/goplsrefactor.extract.variable がパッケージレベルで失敗します
* go#70666 x/tools/goplsGetIfaceStubInfo のパニック
* go#70667 提案crypto/x509証明書からの X25519 公開鍵の抽出をサポートします
* go#70668 提案x/mobile未回復のパニックに対するサポートを改善します
* go#70669 cmd/goTestScript/build_trimpath_cgo のローカルエラー
* go#70670 cmd/link未使用関数がバイナリからデッドコードされません
* go#70674 x/pkgsite [] に対するパッケージ削除リクエスト https://pkg.go.dev/github.com/uisdevsquad/go-test/debugmate* go#70675 cmd/go/internal/lockedfileplan9 の TestTransform の mountrpc フレーク
* go#70677 すべてplan9 上の「Bad fid」エラーを伴うリモートファイルサーバー I/O 脆弱性
* go#70678 internal/pollFD が閉じている際の「Intel(R) Xeon(R) plain」でのデッドロック
* go#70679 mime/multipartgo では 1.23.3mime/multipart がリンクしません

go1.23.2-3-openssl-fips とタグ付けされたリビジョンの go1.23-fips-release ブランチから切り取った、バージョン 1.23.2.3 に更新してください。 jsc#SLE-18320

* openssl に対するマイナスのテストを追加します#243

go1.23.3 (2024 年 11 月 6 日リリース) には、リンカー、ランタイム、net/http、os、syscall パッケージへの修正が含まれています。

* go#69258 runtime破損した GoroutineProfile スタックトレース
* go#69259 runtimeqemu 経由の multi-arch ビルドが、 go バイナリの実行に失敗します
* go#69640 osos.checkPidfd() が SIGSYS でクラッシュします
* go#69746 runtimeTestGdbAutotmpTypes の失敗
* go#69848 cmd/compilesyscall.Syscall15792 バイト制限を超える nosplit スタック
* go#69865 runtimemutexProfile に root フレームがありません
* go#69882 time、runtime短い時間のための同時タイマー起動が多すぎます。Ticker
* go#69978 time、runtime短い高速高速リセット時間での同時タイマー起動が多すぎます。Timer
* go#69992 cmd/linkLC_UUID が go リンカーによって生成されないため、macOS 15 でローカルネットワークへのアクセスが失敗します
* go#70001 net/http/pprofcoroutines + pprof によりプログラムがパニックする
* go#70020 net/httpmacos 上の FileServer の短い書き込み

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける go1.23-openssl、go1.23-openssl-doc、および / または go1.23-openssl-race パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1229122

https://bugzilla.suse.com/1236045

https://bugzilla.suse.com/1236046

https://bugzilla.suse.com/1236801

https://bugzilla.suse.com/1238572

https://bugzilla.suse.com/1240550

https://bugzilla.suse.com/1244156

https://bugzilla.suse.com/1244157

https://bugzilla.suse.com/1246118

https://bugzilla.suse.com/1247719

https://bugzilla.suse.com/1247720

https://bugzilla.suse.com/1247816

http://www.nessus.org/u?0b582d9d

https://www.suse.com/security/cve/CVE-2024-45336

https://www.suse.com/security/cve/CVE-2024-45341

https://www.suse.com/security/cve/CVE-2025-0913

https://www.suse.com/security/cve/CVE-2025-22866

https://www.suse.com/security/cve/CVE-2025-22870

https://www.suse.com/security/cve/CVE-2025-22871

https://www.suse.com/security/cve/CVE-2025-4673

https://www.suse.com/security/cve/CVE-2025-4674

https://www.suse.com/security/cve/CVE-2025-47906

https://www.suse.com/security/cve/CVE-2025-47907

プラグインの詳細

深刻度: Critical

ID: 264605

ファイル名: suse_SU-2025-03159-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2025/9/12

更新日: 2025/9/12

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: High

基本値: 9.4

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS スコアのソース: CVE-2025-22871

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 8.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:go1.23-openssl-doc, p-cpe:/a:novell:suse_linux:go1.23-openssl-race, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:go1.23-openssl

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/9/11

脆弱性公開日: 2025/1/21

参照情報

CVE: CVE-2024-45336, CVE-2024-45341, CVE-2025-0913, CVE-2025-22866, CVE-2025-22870, CVE-2025-22871, CVE-2025-4673, CVE-2025-4674, CVE-2025-47906, CVE-2025-47907

SuSE: SUSE-SU-2025:03159-1