SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新go1.25SUSE-SU-2025:03547-1
high Nessus プラグイン ID 270294
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:03547-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。go1.25.2 (2025 年 10 月 7 日リリース) には、archive/tar、crypto/tls、crypto/x509、encoding/asn1、encoding/pem、net/http、net/mail、net/textproto、および net に対するセキュリティ修正が含まれます。 /url パッケージ、ならびにコンパイラ、runtime、および context、debug/pe、net/http、os、および sync/atomic パッケージへのバグ修正。bsc#1244485
CVE-2025-58189 CVE-2025-61725 CVE-2025-58188 CVE-2025-58185 CVE-2025-58186 CVE-2025-61723 CVE-2025-58183 CVE-2025-47912 CVE-2025-58187 CVE-2025-61724:
* bsc#1251255 CVE-2025-58189crypto/tlsALPN ネゴシエーションエラーには、攻撃者が制御する情報が含まれます
* bsc#1251253 CVE-2025-61725net/mailParseAddress の過剰な CPU 消費
* bsc#1251260 CVE-2025-58188crypto/x509DSA 公開鍵で証明書を検証する際のパニック
* bsc#1251258 CVE-2025-58185encoding/asn1DER ペイロードを解析する際にメモリを事前に割り当てると、メモリ枯渇が発生する可能性があります
* bsc#1251259 CVE-2025-58186net/httpクッキーを解析する際の制限がないために、メモリ枯渇が発生する可能性があります
* bsc#1251256 CVE-2025-61723encoding/pem一部の無効な入力を解析する際の二次複雑性
* bsc#1251261 CVE-2025-58183archive/tarGNU スパースマップを解析する際の際限のない割り当て
* bsc#1251257 CVE-2025-47912net/url括弧付き IPv6 ホスト名の不十分な検証
* bsc#1251254 CVE-2025-58187crypto/x509名前制約をチェックする際の二次複雑性
* bsc#1251262 CVE-2025-61724net/textprotoReader.ReadResponse の過剰な CPU 消費
* go#75111 os、syscallReadAt を呼び出す際に、FILE_FLAG_OVERLAPPED を伴うボリューム処理が失敗します
* go#75116 os同じパスで同時に呼び出された場合、Root.MkdirAll は「file uses」を返す可能性があります
* go#75139 osRoot.OpenRoot が不適切な名前を設定し、元のルートのプレフィックスを失っています
* go#75221 debug/pellvm-mingw 21 によって作成されたオブジェクトファイルで pe.Open が失敗します
* go#75255 cmd/compileインターフェイス経由でのみ参照される DWARF タイプにエクスポートします
* go#75347 tests/synctest実行可能な goroutines がないテストタイムアウト
* go#75357 net新しいテスト TestIPv4WriteMsgUDPAddrPortTargetAddrIPVersion が Plan9 で失敗します
* go#75524 crypto/internal/fips140/rsaセルフテストが失敗した場合、パニックが必要です
* go#75537 コンテキストDone チャネルが閉じられる前に、Err が非 nil を返す可能性があります
* go#75539 net/http内部エラーconnCount アンダーフロー
* go#75595 cmd/compilegithub.com/leodido/go-urn 上の GOEXPERIMENT=cgocheck2 にある内部コンパイラエラー
* go#75610 sync/atomicUintptr.Or のコメントが戻り値を不適切に説明しています
* go#75669 runtimedebug.decoratemappings が期待通りに機能しません
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるgo1.25、go1.25-doc、go1.25-raceパッケージを更新してください。参考資料
https://bugzilla.suse.com/1244485
https://bugzilla.suse.com/1251253
https://bugzilla.suse.com/1251254
https://bugzilla.suse.com/1251255
https://bugzilla.suse.com/1251256
https://bugzilla.suse.com/1251257
https://bugzilla.suse.com/1251258
https://bugzilla.suse.com/1251259
https://bugzilla.suse.com/1251260
https://bugzilla.suse.com/1251261
https://bugzilla.suse.com/1251262
https://lists.suse.com/pipermail/sle-updates/2025-October/042110.html
https://www.suse.com/security/cve/CVE-2025-47912
https://www.suse.com/security/cve/CVE-2025-58183
https://www.suse.com/security/cve/CVE-2025-58185
https://www.suse.com/security/cve/CVE-2025-58186
https://www.suse.com/security/cve/CVE-2025-58187
https://www.suse.com/security/cve/CVE-2025-58188
https://www.suse.com/security/cve/CVE-2025-58189
https://www.suse.com/security/cve/CVE-2025-61723
プラグインの詳細
深刻度: High
ID: 270294
ファイル名: suse_SU-2025-03547-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/10/14
更新日: 2025/10/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 7.1
現状値: 5.3
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:N
CVSS スコアのソース: CVE-2025-47912
CVSS v3
リスクファクター: High
基本値: 8.7
現状値: 7.6
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:go1.25-doc, p-cpe:/a:novell:suse_linux:go1.25, p-cpe:/a:novell:suse_linux:go1.25-race, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/10/11
脆弱性公開日: 2025/10/11
参照情報
CVE: CVE-2025-47912, CVE-2025-58183, CVE-2025-58185, CVE-2025-58186, CVE-2025-58187, CVE-2025-58188, CVE-2025-58189, CVE-2025-61723, CVE-2025-61724, CVE-2025-61725
SuSE: SUSE-SU-2025:03547-1