検出

SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新go1.25SUSE-SU-2025:4336-1

medium Nessus プラグイン ID 278185

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2025:4336-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 go1.25.5 (2025 年 12 月 2 日リリース) には、crypto/x509 パッケージへの 2 つのセキュリティ修正のほか、mime および os パッケージへのバグ修正が含まれています。
 (bsc#1244485)

 CVE-2025-61729 CVE-2025-61727:

 * go#76461 go#76445 bsc#1254431 セキュリティ修正 CVE-2025-61729 crypto/x509ホスト証明書検証のためのエラー文字列の印刷での過剰なリソース消費
 * go#76464 go#76442 bsc#1254430 セキュリティ CVE-2025-61727 crypto/x509除外されたサブドメイン制約がワイルドカード SAN を除外しません
 * go#76245 mimeFormatMediaType と ParseMediaType は 1.24 から 1.25まで互換性がありません
 * go#76360 osWindows で、読み取り専用ファイルを含むディレクトリを削除する際に、 unlinkat でエラーを起こします ... アクセスが拒否されました。ReOpenFile のエラー処理のフォローアップ

 - パッケージupdate-alternatives から libalternatives へ移行しますbsc#1245878

 * これは prjconf 定義 with_libalternatives で制御されるオプションの移行です
 * with_libalternatives が未定義の場合、パッケージングは update-alternatives を引き続き使用します

 go1.25.4 (2025 年 11 月 5 日リリース) には、コンパイラ、ランタイム、および crypto/subtle、encoding/pem、net/url、os パッケージへの修正が含まれます。bsc#1244485

 * go#75480 cmd/link複雑なジェネリックインライン化でのリンカーパニックと再配置のエラー
 * go#75775 runtimelinux/arm64 で実行している linux/amd64 用の QEMU を介して実行する際、ビルドが失敗します
 * go#75790 crypto/internal/fips140/subtleGo 1.25 notes.xorBytes の MIPS におけるパニック
 * go#75832 net/urlipv4 にマッピングされた ipv6 アドレスは、角括弧内で有効である必要があります
 * go#75952 entity/pem先頭のガベージがあるブロックをデコードする際の回帰
 * go#75989 osWindows で、読み取り専用ファイルを含むディレクトリを削除する際に、 unlinkat でエラーを起こします ... アクセスが拒否される
 * go#76010 cmd/compileany(func(){})==any(func(){}) はパニックにはなりませんが、
 * go#76029 pem/encoding無効な形式の行末がパニックを引き起こす可能性があります

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるgo1.25、go1.25-doc、go1.25-raceパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1244485

https://bugzilla.suse.com/1245878

https://bugzilla.suse.com/1254227

https://bugzilla.suse.com/1254430

https://bugzilla.suse.com/1254431

http://www.nessus.org/u?ef337ee6

https://www.suse.com/security/cve/CVE-2025-61727

https://www.suse.com/security/cve/CVE-2025-61729

プラグインの詳細

深刻度: Medium

ID: 278185

ファイル名: suse_SU-2025-4336-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/12/11

更新日: 2025/12/11

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.1

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 4.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2025-61727

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:go1.25-doc, p-cpe:/a:novell:suse_linux:go1.25, p-cpe:/a:novell:suse_linux:go1.25-race, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/12/10

脆弱性公開日: 2025/12/2

参照情報

CVE: CVE-2025-61727, CVE-2025-61729

SuSE: SUSE-SU-2025:4336-1