検出

SUSE SLED15 / SLES15 セキュリティ更新python313SUSE-SU-2025:3706-1

high Nessus プラグイン ID 271166

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 ホストには、SUSE-SU-2025:3706-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 バージョン 3.13.7 に更新してください。

 - 3.13.7の修正
 * gh-137583ssl.SSLSocket.recv への呼び出しが 1 つのスレッドでブロックされ、その後オブジェクトの別のメソッドssl.SSLSocket.send などが別のスレッドで呼び出されたとき、 3.13.6 で導入されたデッドロックを修正します。
 * gh-137044resource.getrlimit() で負の整数ではなく正の整数として大きな制限値を返します。
 resource.setrlimit() での制限に対して、大きな値を受け入れ、負の値RLIM_INFINITY を除くを拒否します。
 * gh-136914functools.cache() または functools.cached_property で装飾されたオブジェクトに対して doctest.DocTest.lineno の取得を修正します。
 * gh-131788マルチプロセッシングからの ResourceTracker.send を安全に再入できるようにします
 * gh-136155現在は CI の EPUB ビルドで致命的なエラーをチェックしています。
 * gh-137400PyEval_SetProfileAllThreads() または PyEval_SetTraceAllThreads() またはその Python 同等もの threading.settrace_all_threads() および threading.setprofile_all_threads() ですべてのスレッドにまたがるプロファイリングまたはトレースを無効にする際の、フリースレッドビルドのクラッシュを修正します。

 - 3.13.6の修正
 * セキュリティ
 - gh-135661HTML5 標準に従って html.parser.HTMLParser の開始タグと終了タグの解析を修正します。
 - との間の空白は受け入れられなくなりましたEg </ script> はスクリプトセクションを終了しません。
 - 垂直タブ\vおよび ASCII 以外の空白は、もはや空白として認識されません。唯一の空白は です \t\n\r\f 発見しました。
 - タグ名を NULL 文字 (U+0000) で終わらなくなりました。
 - 引用符付き属性値の中の最初の > の後で終了する代わりに、終了タグのタグ名の後の属性およびスラッシュが無視されるようになりました。例</script/foo='>'/> 。
 - 最後の属性と閉じる > の間の複数のスラッシュと空白は、開始タグと終了タグの両方で無視されるようになりました。Eg <a foo=bar/ //>。
 - 属性名と値の間の複数の = が折りたたまれなくなりました。Eg <a foo==bar> は、値が =bar の属性 foo を生成します。
 - gh-102555HTML5 標準にしたがって html.parser.HTMLParser のコメント解析を修正します。 --!> によってコメントが終了します。
 -- > はコメントを終了しなくなりました。異常終了した空のコメントをサポートします <-->および<--->です。
 - gh-135462html.parser.HTMLParser で特別に細工された入力を処理する際に生じる二次複雑性を修正します。ファイルの終わりのエラーが HTML5 仕様のコメントおよび宣言に従って自動的に処理され、タグが無視されますCVE-2025-6069、 bsc#1244705] 。
 - gh-118350html.parser.HTMLParser のエスケープ可能な raw テキストモード要素 textarea およびタイトルのサポートを修正します。
 * コアおよびビルトイン
 - gh-58124コードページコーデックの Unicode エラーにおける Python エンコーディングの名前を修正有効でない Python コード名である CP_UTF7 および CP_UTF8 の代わりに cp65000 および cp65001 を使用します。Victor Stinner 氏によるパッチ。
 - gh-137314生の f-strings がフォーマット仕様でエスケープシーケンスを不適切に解釈する回帰を修正しました。ローの f-strings は現在、フォーマット仕様でリテラルバックスラッシュを適切に保存し、Python からの挙動と一致しています 3.11。たとえば、rf「{obj:\xFF}」は「?」の代わりに「\\xFF」を適切に生成するようになりました。Pablo Galindo 氏によるパッチ。
 - gh-136541x86-64 および aarch64 で perf トランポリンのあるいくつかの問題を修正します。トランポリンが場合によっては適切に生成されないため、perf 統合が適切に動作しない可能性があります。Pablo Galindo 氏によるパッチ。
 - gh-109700PyDict_SetDefault() でのメモリエラー処理を修正します。
 - gh-78465cls がインスタンス化できないビルトインまたは拡張タイプである cls.__new__(cls, ...) に対するエラーメッセージを修正しますtp_new が NULL に設定されている。
 - gh-135871ロックがビジーである場合、ノンブロッキング mutex ロックの試行が、フリースレッドビルドで一時的にスピンするのではなく、すぐに返されるようになりました。
 - gh-135607フリースレッドビルドのオブジェクトデストラクタでの潜在的なweakref 競合を修正します。
 - gh-135496f-string 変換タイプエラーの誤字を修正しますexclamation -> exclamation。
 - gh-130077ソフトキーワードのプレフィックスである名前を含む不適切な構文に遭遇したときに、適切にカスタム構文エラーを引き起こします。Pablo Galindo 氏によるパッチ。
 - gh-135148f-string デバッグ式= を使用が、エスケープされた引用符と # 文字を含む文字列の一部を不適切に除去するバグを修正しました。Pablo Galindo 氏によるパッチ。
 - gh-133136大規模な辞書またはリストのサイズが変更され、複数のスレッドにアクセスされる場合、フリースレッドビルドで過剰なメモリ使用率を制限します。
 - gh-132617異なる辞書が変更され、同じ下層のキーオブジェクトを共有する際に、更新エラー中に dict 変更のエラーを間違って引き起こす可能性がある dict.update() 変更チェックを修正します。
 - gh-91153アイテムの割り当て中に bytearray が同時に変更される際のクラッシュを修正します
 - gh-127971文字列検索で文字列の末尾を越えた off-by-one 読み取りを修正します。
 - gh-125723ジェネレーターフレームがジェネレーターの不足を修正する際の gi_frame.f_locals によるクラッシュを修正します。Mikhail Efimov 氏によるパッチ。
 * ライブラリ
 - gh-132710可能な場合は、異なるプロセス間でも uuid.getnode() が同じ結果を返すようにします。
 以前は、同じプロセス内でのみ結果が一定でした。B?n?dikt Tran 氏によるパッチ。
 - gh-137273Windows の locale.setlocale() のデバッグアサーションエラーを修正します。
 - gh-137257ensurepip でバンドルされている pip のバージョンを に更新します 25.2
 - gh-81325tarfile.TarFile は tar アーカイブで作業する際にパスのようなものを受け入れるようになりました。gh-81325 の Alexander Enrique Ulieles Nieto 氏による貢献。
 - gh-130522スレッドモジュールのインタープリターシャットダウン中に発生する発生しない TypeError を修正します。
 - gh-130577tarfile はアーカイブを検証し、メンバーオフセットが負でないことを確認します。gh-130577 で Alexander Enrique Ulieles Nieto 氏によって提供されました。 CVE-2025-8194、 bsc#1247249。
 - gh-136549threading.excepthook() の署名を修正します。
 - gh-136523open が起動したときに起動不可を放出するwave.Wave_write を修正します。
 - gh-52876codecs.StreamReaderWriter.readline() および codecs.StreamReaderWriter.readlines() へ欠落している keependデフォルト Trueパラメーターを追加します。
 - gh-85702zoneinfo._common.load_tzdata にリソースなしでパッケージが与えられる場合、PermissionError ではなく zoneinfo.ZoneInfoNotFoundError が発生します。Victor Stinner 氏によるパッチ。
 - gh-134759デコードするペイロードがバイトオブジェクトの場合、email.message.Message.get_payload() での UnboundLocalError を修正します。Kliment Lamonov 氏によるパッチ。
 - gh-136028time.strptime() に U+0130, LATIN CAPITAL LETTER I WITH DOT ABOVEを含む月の名前の解析を修正します。
 これは、az_AZ、ber_DZ、ber_MA および crh_UA に影響を与えます。
 - gh-135995 palmos エンコーディングで、バイト 0x9b を にデコードしますU+203A - SINGLE RIGHT-POINTING ANGLE QUOTATION MARK。
 - gh-53203ロケール byn_ER、wal_ET および lzh_TW での %c および %x 形式に対して、ロケール ar_SA、bg_BG および lzh_TW での %X 形式に対して time.strptime() を修正します。
 - gh-91555 3.13.4で導入された以前の変更が元に戻されました。ロガーのログメッセージの処理中に、そのロガーに対するロギングが無効になりました。戻してから、以前と同じ動作になるはずです 3.13.4。
 - gh-135878複数のスレッドが SimpleNamespace を呼び出していたとき、解放されたスレッドビルドで、types.SimpleNamespace のクラッシュを修正します
 __repr__() メソッドを同時に実行する可能性があります。
 - gh-135836非 OSError 例外が接続中に発生し、ソケット close() が OSError を発生させる際に発生する可能性がある、asyncio.loop.create_connection() の IndexError を修正します。
 - gh-135836接続の試行中に Happy Eyeballs アルゴリズムが空の例外リストになった場合に発生する可能性がある、asyncio.loop.create_connection() の IndexError を修正します。
 - gh-135855必要に応じて SystemError の代わりに TypeError を発生させます
 _interpreters.set___main___attrs() が non-dict オブジェクトを渡します。Brian Schubert 氏によるパッチ。
 - gh-135815netrcos.getuid() がない場合、セキュリティチェックをスキップします。B?n?dikt Tran 氏によるパッチ。
 - gh-135640無効な root 要素を持つ ElementTree オブジェクトで xml.etree.ElementTree.ElementTree.write() を呼び出すことが可能であったバグに対処します。この挙動は、書き込みがすでに存在する場合、書き込みに渡されるファイルを空白にしていました。
 - gh-135444データを送信できない場合、asyncio.DatagramTransport.sendto() を修正し、データグラムヘッダーサイズを考慮します。
 - gh-135497BSD ベースのプラットフォームで長いユーザー名に対する os.getlogin() の失敗を修正します。
 - gh-135487sys.get_int_max_str_digits() 桁数より大きい整数が与えられた場合、reprlib.Repr.repr_int() を修正します。B?n?dikt Tran 氏によるパッチ。
 - gh-135335マルチプロセッシングforkserver でモジュールをプリロードした後、stdout と stderr をフラッシュします。
 - gh-135244uuidMAC アドレスが特定できない場合、48 ビットのノード ID は RFC 9562 に従って、暗号的に安全な擬似乱数発生器CSPRNGで生成されるようになりました、?6.10.3。これはuuid1()に影響します。
 - gh-135069エラーパラメーターが正しく置換されるように、encodings.idna.IncrementalDecoder の無効なエラー処理の例外を修正します。
 - gh-134698複数のスレッドで ssl.SSLContext または ssl.SSLSocket のメソッドを呼び出す際のクラッシュを修正します。
 - gh-132124forkserver 起動メソッドを使用する際に AF_UNIX ソケットファイルのパス長がプラットフォーム固有の最大長を超えた場合、POSIX 準拠システムで multiprocessing.util.get_temp_dir() が TMPDIR および類似の環境変数を無視するようになりました。B?n?dikt Tran 氏によるパッチ。
 - gh-133439末尾のスペースのあるドットコマンドが、sqlite3 コマンドラインインターフェイスで複数行の SQL ステートメントと間違って処理される問題を修正しました。
 - gh-132969shutdown(wait=False) 時に実行されたままの ProcessPoolExecutor 実行者スレッドが、シャットダウン中にオブジェクトの状態がすでにリセットされた後にプールワーカープロセスの調整を試行するのを阻止します。
 ワーカープロセスが異常に終了するなどの条件の組み合わせにより、まだ実行中の実行者スレッドがプール内のデッドワーカーを置き換えようとする際に、例外と潜在的なハングアップが発生しました。
 - gh-130664Decimal の整数部分のフォーマット化において「_」ディジットセパレーターをサポートします。Sergey B Kirpichev 氏によるパッチ。
 - gh-85702zoneinfo._common.load_tzdata がリソースなしのパッケージを与えられる場合、IsADirectoryError ではなく ZoneInfoNotFoundError が発生します。
 - gh-130664Fractions 書式設定のコーナーケースを処理します
 ゼロパディング幅フィールドにゼロ「0」文字を戻すを、浮動小数点の場合のように「=」のアライメントタイプで「0」のフィル文字と同等に処理します。
 * ツール / デモ
 - gh-135968strip のスタブが iOS インストールの一部として提供されるようになりました。
 * テスト
 - gh-135966iOS testbed は現在、app_packages フォルダをサイトディレクトリとして処理します。
 - gh-135494 からの除外するテストをサポートするために regrtest を修正します
 --pgo 発見しました。Victor Stinner 氏によるパッチ。
 - gh-135489有効化された最適化が含まれた PGO プロファイルステップで失敗したテストの詳細な出力を表示します。
 * ドキュメント
 - gh-135171ジェネレーター式の左端の反復子が即座に作成されることを文書化します。
 * Build
 - gh-135497configure.ac スクリプトで MAXLOGNAME の検出を修正します。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1244705

https://bugzilla.suse.com/1247249

https://lists.suse.com/pipermail/sle-updates/2025-October/042247.html

https://www.suse.com/security/cve/CVE-2025-6069

https://www.suse.com/security/cve/CVE-2025-8194

プラグインの詳細

深刻度: High

ID: 271166

ファイル名: suse_SU-2025-3706-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/10/22

更新日: 2025/10/22

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2025-8194

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:python313, p-cpe:/a:novell:suse_linux:python313-curses, p-cpe:/a:novell:suse_linux:python313-dbm, p-cpe:/a:novell:suse_linux:python313-devel, p-cpe:/a:novell:suse_linux:python313-tk, p-cpe:/a:novell:suse_linux:python313-tools, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:libpython3_13-1_0, p-cpe:/a:novell:suse_linux:python313-base, p-cpe:/a:novell:suse_linux:python313-idle

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/10/21

脆弱性公開日: 2025/6/17

参照情報

CVE: CVE-2025-6069, CVE-2025-8194

IAVA: 2025-A-0444

SuSE: SUSE-SU-2025:3706-1