検出

openSUSE 15 セキュリティ更新: mybatis、ognl (SUSE-SU-2025:03285-1)

high Nessus プラグイン ID 265727

Language:

概要

リモートの openSUSE ホストに、セキュリティ更新プログラムがありません。

説明

リモートの openSUSE 15 ホストにインストールされているパッケージは、SUSE- SU-2025:03285-1 のアドバイザリに記載されている脆弱性の影響を受けます。

 3.5.7へのバージョン更新:

 * バグ修正:

 - JDK 8 でのパフォーマンスの向上。#2223

 3.5.8へのバージョン更新:

 * 変更リスト:

 - 空の文字列を java.lang.Character にマッピングする際の NullPointerException を回避します。 #2368
 - 静的オブジェクトを初期化するときの不適切な引数を修正しました。
 これにより、quarkus-mybatis との互換性の問題が解決されます。
 #2284
 - パフォーマンス向上。 #2297 #2335 #2340

 3.5.9へのバージョン更新:

 * 変更リスト:

 - nullable を <foreach /> に追加します。有効にすると、コレクションが null の場合、例外をスローするのではなく反復をスキップします。この機能をグローバルに有効にするには、設定で nullableOnForEach=true を設定します。 #1883

 3.5.10へのバージョン更新:

 * バグ修正:

 - OGNL 式でメソッドを呼び出す際に、予期しない不正な折り返しアクセス警告 (または Java 16+ では InaccessibleObjectException) が発生します。 #2392
 - レコードの自動マッピング時の IllegalAccessException (JEP-359) #2195
 - PooledConnection#getConnection() が中断されたときに、「interrupted」ステータスが設定されません。 #2503

 * 拡張機能:

 - 新規オプション argNameBasedConstructorAutoMapping が追加されました。有効にすると、自動マッピング時にコンストラクター引数名が列検索に使用されます。 #2192
 - 新規プロパティ skipSetAutoCommitOnClose を JdbcTransactionFactory に追加しました。setAutoCommit() の呼び出しをスキップすると、一部のドライバーでパフォーマンスが向上する可能性があります。 #2426
 -<idArg /> は <constructor /> 内の <arg /> の後にリストできるようになりました。
 #2541

 3.5.11へのバージョン更新:

 * バグ修正:

 - 継承されたメソッドを呼び出す際に、OGNL が IllegalArgumentException をスローする可能性があります。 #2609
 - returnInstanceForEmptyRow はコンストラクター自動マッピングに適用されません。 #2665

 3.5.12へのバージョン更新

 * ユーザーに影響を与える変更

 - #2703 コレクションパラメーターの名前による参照が、#2693 の修正に失敗します
- #2709 マップされたテーブルの構築中に mapper メソッドを呼び出す他のスレッドによって発生する競合状態を修正します
 - #2727 XMLConfigBuilder にカスタム構成を提供する機能を有効にします
 - #2731 Mapper の追加が JPMS で失敗する可能性があります
 - #2741 「affectedData」属性を @select、@SelectProvider に追加します <select />
 - #2767 resultType および resultMap が提供されない場合、名前空間と ID により resultType を解決します
 - #2804 コンストラクター引数タイプを名前で解決する際に、読み取り可能なプロパティを検索します
 - 軽微な修正: 「boolean」を null (プリマティブ) にすることはできません
 - 一般的なライブラリ更新
 - 現時点ではコンパイラにパラメーターオプションを使用 (spring boot 3 が必要) (リフレクションニーズ向け)

 * コードのクリーンアップ

 - #2816 オープンの再書き込みによって java コードを部分的にクリーンアップ + #2817 オープンの再書き込みごとにプライベートコンストラクターを追加 + #2819 オープンの再書き込みごとに適切な最終バージョンを追加 + #2825 ステートメントの改行/戻りロジックの場合のクリーンアップ + #2826 Eclipse ベースのクリーンアップ

 * Build

 + #2820 GH-Actions での直接使用を優先するためにテスト ci グループプロファイルを削除し、README.md の概要に沿って廃止されたsurefire を更新します + シェーディングされた ognl および javassist が警告をスローしないように Build を調整します + 現時点と同様、jdk 21-ea を使用して構築します + 様々なテストのクリーンアップ、更新、および追加 + コードブロックで必要に応じてフォーマッティングをスキップできるように、Readme の執筆者へのメモを含め、すべての java コードで自動フォーマッティングをオンにします + テストは現在、jdk 8 ランタイムを保持しながら jdk 11 を使用する場合があります + Pom クリーンアップ /パラメーターの明確化

 * ドキュメント

 + 様々なドキュメントの更新

 3.5.13へのバージョン更新:

 * バグ修正:

 + ターゲットプロパティに異なる戻り値の型のゲッターがある場合、結果の型を解決できません #2834

 3.5.14へのバージョン更新:

 * バグ修正:

 + 登録された型ハンドラーが匿名の enum に使用されません #2956 + 識別子がコンストラクターマッピングで機能しません #2913

 3.5.15へのバージョン更新:

 * 変更

 + XNode#toString() はすべての子ノードを出力します。 #3001 およびこの問題に関連するチケットを参照 + 「list」ではなく「set」を使用することで、mappedColumnNames.contains のパフォーマンスを修正します。 #3023 を参照 + javassist の osgi 問題を修正します。 #3031 を参照 + shaded OGNL を 3.4.2 に更新しました。 #3035 を参照 + SQL クラスで動的 sql を生成するためのサポートメソッドを追加します。
 #2887 を参照 + 一般ライブラリ更新 + 一般ドキュメント更新

 * Build

 + Github Actions で、java 11、17、21、22 のビルドが表示されるようになりました。コードは現時点では引き続き java 8 と互換性があります。
 + 脆弱な hsqldb を 2.7.2 に更新し、現在機能しているテストを最新のサポートのために修正します。ユーザーはこれによる影響を受けることはありませんが、renovate と dependabot の両方およびそれに関する様々なレポートに加え、少なくとも 1 つのユーザーのプルリクエストのオープンが試行されました。
 + renovate からのプルリクエストの頻度を下げるために、さらに多くのプロパティを使用して pom のバージョンを定義するようになりました

 3.5.16へのバージョン更新:

 * セキュリティ:

 + 脆弱なアプリケーションによる呼び出しが使用されないようにします。
 #3115

 * バグ:

 + データベース ID 解決が失敗する場合、無効な境界ステートメントが使用されます。 #3040

 * 拡張機能:

 + ドットまたは括弧付き列名のマッピング方法をカスタマイズするために、カスタムマップラッパーを記述することが可能になりました。 #13 #3062

 * パフォーマンス:

 + Loom により導入された仮想スレッドとの互換性を改善しました。
 + デフォルト (例: 順序ベース) コンストラクターの
 自動マッピング実行時のメモリフットプリントを削減しました。 #3113

 * Build:

 + sources.jar にシェーディングライブラリ (OGNL および Javassist) を含めます。

 3.5.17へのバージョン更新:

 * バグ:

 + プロパティが空の場合、VendorDatabaseIdProvider#getDatabaseId() は製品名を返す必要があります #3297 + NClobTypeHandler を更新し、国際文字セットのメソッドを使用します #3298

 * 拡張機能:

 + DefaultSqlSessionFactory にカスタム SqlSession の提供を許可します #3128

 3.5.18へのバージョン更新:

 * 回帰

 + 3.5.17 #3334 の問題を修正しました

* 新規

 + 次の単位ごとの空の xnode を無視 #3349 + 式バリデーター を共有 #3339 + IndexOutOfBoundsException ではなく役立つエラーをスロー (自動マッピング) #3327 + マッパービルダーを最適化 #3252

 * テスト

 + TransactionFactory、Transaction テストケースを追加 #3277

 * Build

 + 現在の java 17 ビルド使用率に合わせて pom を修正しました + すべてのテストを最新の java 標準に移行しました + github アクションをクリーンアップしました + リリースコミットでのみ「サイト」ブランチを実行しました

 3.5.19へのバージョン更新:

 * #3349 の修正により導入された取消リグレッション

 - バージョン 3.4.7 を含む最初のパッケージング

ognl は、パッチが適用されていないセキュリティバグがある EOLed apache-commons-ognl に置き換わります (bsc#1248252、CVE-2025-53192)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける mybatis、mybatis-javadoc、ognl および/または ognl-javadoc パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1248252

http://www.nessus.org/u?762712e9

https://www.suse.com/security/cve/CVE-2025-53192

プラグインの詳細

深刻度: High

ID: 265727

ファイル名: suse_SU-2025-03285-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/9/23

更新日: 2025/9/23

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-53192

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/9/21

脆弱性公開日: 2025/8/18

参照情報

CVE: CVE-2025-53192

SuSE: SUSE-SU-2025:03285-1