SUSE SLES15 / openSUSE 15 セキュリティ更新 : java-1_8_0-ibm (SUSE-SU-2025:03262-1)
high Nessus プラグイン ID 265423
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:03262-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。Java 8.0 Service Refresh 8 Fix Pack 50 に更新してください。
セキュリティの問題を修正:
- Oracle 2025 年 7 月 15 日 CPU (bsc#1247754)。
- CVE-2025-30749ヒープの破損により、ネットワークアクセス権を持つ認証されていない攻撃者が、信頼できないコードを読み込んで実行する Java アプリケーションを侵害して乗っ取る可能性がありますbsc#1246595。
- CVE-2025-30754不完全なハンドシェイクにより、ネットワークアクセス権を持つ認証されていない攻撃者が、機密データに対する認証されていない更新、挿入、削除、読み取りアクセスを取得する可能性がありますbsc#1246598。
- CVE-2025-30761Scripting コンポーネントの問題により、ネットワークアクセス権を持つ認証されていない攻撃者が、重要なデータに承認されていない作成、削除、修正アクセスを行うことが可能ですbsc#1246580。
- CVE-2025-50059Networking コンポーネントの問題により、ネットワークアクセス権を持つ認証されていない攻撃者が、重要なデータへの認証されていないアクセスを取得することが可能ですbsc#1246575。
- CVE-2025-50106Glyph のメモリ不足アクセスにより、ネットワークアクセス権を持つ認証されていない攻撃者が、信頼できないコードを読み込んで実行する Java アプリケーションを侵害して乗っ取る可能性がありますbsc#1246584。
修正されたその他の問題:
- クラスライブラリ
- Oracle Security Fix 8348989Glyph 描画の向上。
- CACERTS から Baltimore ルート証明書および TWO CAMERFIRMA ルート CA 証明書を削除。
- タイムゾーン情報を最新の TZDATA2025B に更新します。
- Java 仮想マシン
- copyforwardscheme.cpp でのアサーション失敗。
- JIT Compiler
- 無効なオブジェクト参照による GC アサート。
- JIT コンパイル済みメソッドからの SIGILL。
- 非常に大きな配列による予期しない動作。
- セキュリティ:
- シリアル化された RSAPrivateCrtKey の逆シリアル化が例外をスローしています。
- 複数の更新を行う際に EDDSAsignature が失敗します。
- HTTPS チャネルバインディングサポート。
- IBMJCEPlus プロバイダーは、ポスト quantum 暗号化アルゴリズムの ML-KEM鍵のカプセル化と ML-DSAデジタル署名をサポートします。
- キー証明書の管理証明書リクエストにキー使用率が拡張されていないと、拡張キー使用率は設定できません。
- MessageDigest.update API が適切な例外をスローしません。
- Oracle セキュリティ修正 8349594TLS プロトコルサポートを強化します。
- MAC 上の PKCS12 キーストアでキーを取得する際の問題。
- EDDSA 署名アルゴリズムに対する TLS のサポート。
- EDDSA キーに対して返されるアルゴリズム名が誤っています。
- z/OS 拡張
- GCM モードでのハイブリッドプロバイダーの IBMJCEHybridException。
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1246575
https://bugzilla.suse.com/1246580
https://bugzilla.suse.com/1246584
https://bugzilla.suse.com/1246595
https://bugzilla.suse.com/1246598
https://bugzilla.suse.com/1247754
http://www.nessus.org/u?c7348a5a
https://www.suse.com/security/cve/CVE-2025-30749
https://www.suse.com/security/cve/CVE-2025-30754
https://www.suse.com/security/cve/CVE-2025-30761
プラグインの詳細
深刻度: High
ID: 265423
ファイル名: suse_SU-2025-03262-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/9/19
更新日: 2025/9/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.6
現状値: 5.6
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2025-50106
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.1
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:java-1_8_0-ibm-alsa, p-cpe:/a:novell:suse_linux:java-1_8_0-ibm-src, p-cpe:/a:novell:suse_linux:java-1_8_0-ibm-devel, p-cpe:/a:novell:suse_linux:java-1_8_0-ibm-plugin, p-cpe:/a:novell:suse_linux:java-1_8_0-ibm, p-cpe:/a:novell:suse_linux:java-1_8_0-ibm-demo, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/9/18
脆弱性公開日: 2025/7/15
参照情報
CVE: CVE-2025-30749, CVE-2025-30754, CVE-2025-30761, CVE-2025-50059, CVE-2025-50106
SuSE: SUSE-SU-2025:03262-1