検出

openSUSE 16 セキュリティ更新keylimeopenSUSE-SU-2025:20159-1

medium Nessus プラグイン ID 278643

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートのopenSUSE 16ホストには、openSUSE-SU-2025:20159-1 アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 バージョン 7.13.0+40 に更新してください。

 セキュリティの問題を修正:

 - CVE-2025-13609重複 UUID でエージェントの登録を許可する Registrar による、エージェント ID 乗っ取りの可能性bsc#1254199。
 - CVE-2025-1057データベースタイプの処理における後方非互換性による、registrar のサービス拒否bsc#1237153。

 その他の修正された問題と変更

 - バージョン 7.13.0+40
 * 新たな認証情報フィールドを含めます#1818
 * データベースの競合状態と SQLAlchemy 2.0 互換性を修正します#1823
 * push-model認証および認証エンドポイントのために HTTPS が必要です
 * プッシュモード認証における operating_state 追跡を修正します
 * テンプレートプッシュモデル認証構成オプションを 2.5 テンプレートに追加します
 * セキュリティログのハッシュ認証トークン
 * 検証での古い IMA ポリシーキャッシュを修正
 * プッシュモードで失敗した認証の認証動作を修正します
 * マルチプロセス通信用の共有メモリインフラストラクチャを追加します
 * プッシュモード用のエージェント認証チャレンジ/応答プロトコルを追加します
 * PULL モード回帰修正付きのエージェント駆動プッシュ認証プロトコルを追加します#1814
 * docsrst2man の互換性のために man ページ RST フォーマットを修正します#1813
 * keylimy-policy ワーカーに制限を適用
 * tpmECC 署名解析を修正し、可変長座標をサポートします
 * tpm一貫したマーシャリングによる ECC P-521 認証情報のアクティベーションを修正
 * tpmECC P-521 座標検証を修正
 * 非推奨の disabled_signing_algorithms 構成オプションを削除します#1804
 * algorithms特定の RSA アルゴリズムに対するサポートを追加します
 * algorithms特定の ECC カーブアルゴリズムへのサポートを追加します
 * keylime-policy 用の man ページを作成し、keylime Verifier、registrar、agent 用の man ページを編集しました
 * keylim エージェントの man ページ
 * keylime 検証機能用の man ページ
 * keylime レジスター用の man ページ
 * タイムアウトおよび最大リトライのデフォルトに定数を使用
 * verifyer「request_timeout」構成オプションからのタイムアウトを使用します
 * revocation_notifier構成ファイルからのタイムアウト設定を使用します
 * tenantエージェントからバージョンを取得する際にタイムアウトを設定します
 * verify/evidenceSEV-SNP 証拠のタイプ/検証子
 * verify/evidence証拠タイプを追加し JSON をリクエストします

 - バージョン v7.13.0
 * DB に保管される証明書の再エンコードを回避
 * モデルを元に戻すDB に保存される証明書を再エンコードしない
 * registrar_agent を戻しますpyasn1 を使用して PEM を解析します
 * policy/sign/dev/stdout への書き込み時に print() を使用します
 * registrar_agentpyasn1 を使用して PEM を解析します
 * モデルDB に保存される証明書を再エンコードしません
 * mbaEV_EFI_VARIABLE_AUTHORITY イベントの vendor_db を正規化します
 * mbvender_db をより新しい shim バージョンによって記録されるようにサポートします
 * mbPCR1 の EV_EFI_HANDOFF_TABLES イベントをサポートします
 * 不要な構成値を削除します
 * cloud_verifier_tornadonotify_error() の例外を処理します
 * request_clientリソースマネージャーの最後にセッションを閉じます
 * keylime_tenant 用の man ページ#1786
 * Push Model の変更を含む 2.5 テンプレートを追加します
 * verify証拠APIの最初のバージョン
 * dbsqlite のプールサイズおよび最大オーバーフローを読みません
 * コンテキストマネージャーを使用して DB セッションを閉じる
 * revocationsシャットダウン時に通知を送信しようとします
 * verifyerシグナルで正常にシャットダウンします
 * 「fork」を「マルチプロセッシング」開始メソッドとして使用します
 * 脅威モデルの不正確性を修正し、SBAT への参照を追加
 * TPM プロパティを説明し、vTPM ディスカッションを拡大します
 * 無効な RST を修正し、TOC を更新します
 * 脅威モデルページを拡大し、攻撃者モデルを含めるように
 * エージェントへのリクエストを回避する --push-model オプションを追加します
 * テンプレート調整スクリプトで str_to_version() が重複します
 * policyrpm_repo で mypy の問題を修正します
 * revocation_notifier廃止された呼び出しを置き換えることで mypy の問題を修正します
 * python の create_runtime_policy を修正します 3.12
 * レビュー後の修正
 * CONSTANT 名を修正しました C0103 エラー
 * verifierdb の meta_data フィールドを拡張
 * docs問題テンプレートが更新されます
 * docsGitHub PR テンプレートがドキュメントリマインダーで追加されます
 * tpm_utilECDSA の引用署名抽出を修正
 * registrar起動中に API のバージョンを記録します
 * 例外の過剰なロギングを削除します
 * scripts スクリプトをダウンロードするカバレッジ情報を修正します

 - バージョン v7.12.1
 * モデルデータベースからの読み書きのために Base64Bytes タイプを追加します
 * レジスターからの応答チェックを簡素化

 - バージョン v7.12.0
 * API/version エンドポイントを register に追加します
 * scriptTesting Arm からカバレッジデータを直接ダウンロードします
 * docsAPI バージョンごとに個別のドキュメントを追加します
 * scripts/create_runtime_policy.sh除外リストのパスが修正されます
 * docskeylime-policy のドキュメントが追加されます
 * テンプレート新しい agent.conf オプション「api_versions」を追加します
 * argcomplete を使用したオートコンプリートを有効にします
 * build(deps)codecov/codecov-action を 5.1.1 から 5.1.2へ更新します
 * packit-ci.fmf で EPEL-10 repo を構成します
 * build(deps)codecov/codecov-action を 5.0.2 から 5.1.1へ更新します
 * build(deps)pypa/gh-action-pypi-publish を 1.12.0 から 1.12.3へ更新します
 * build(deps)docker/metadata-action を 5.5.1 から 5.6.1へ更新します
 * build(deps)docker/build-push-action が 6.9.0 から 6.10.0へ更新されます
 * keylime-policy不適切なキーが提供された際のエラー処理を改善署名
 * keylime-policyコマンドが失敗した場合はステータス 1 で終了します
 * keylime-policymodels.base からの Certificate() を使用して証明書を検証します
 * keylime-policyx509 バックエンドを使用する際に有効な証明書ファイルをチェックします署名
 * keylime-policykeylime-policy 符号動詞のヘルプを修正
 * tenant削除する際の試行回数を適切に記録します
 * TCTI 環境変数の使用率を更新
 * build(deps)codecov/codecov-action を 4.6.0 から 5.0.2へ更新します
 * keylime-policy「create Measurement-boot」サブコマンドを追加します
 * keylime-policy「sign runtime」サブコマンドを追加します
 * keylime-policyポリシーツールで使用するためにロガーを追加します
 * installer.sh実行権限を復元します
 * installer文字列比較を修正します
 * build(deps)docker/build-push-action が 6.7.0 から 6.9.0へ更新されます
 * build(deps)codecov/codecov-action を 4.5.0 から 4.6.0へ更新します
 * build(deps)pypa/gh-action-pypi-publish を 1.11.0 から 1.12.0へ更新します
 * build(deps)actions/setup-python を 5.2.0 から 5.3.0へ更新します
 * installer.shEPEL を更新しました、 PEP668 修正、ロジックを修正します
 * build(deps)pypa/gh-action-pypi-publish を 1.10.3 から 1.11.0へ更新します
 * build(deps)アクション/チェックアウトを 4.2.1 から 4.2.2へ更新します
 * psycopg2 を使用する docker の postgresql サポート
 * installer.shパッケージリストを更新し、 PEP 668 の回避策を追加します
 * build(deps)アクション/チェックアウトを 4.2.0 から 4.2.1へ更新します
 * keylime.conf完全な削除
 * 保留中の SPDX-License-Identifier ヘッダーをドロップします
 * create_runtime_policyIMA 測定ログからアルゴリズムを検証します
 * create-runtime-policySHA-256 および SM3_256 の不明瞭な点に対処してください
 * create_runtime_policyテストデータでコメントをドロップします
 * create_runtime_policyアルゴリズムを推測するために共通のメソッドを使用します
 * keylime-policyツールの名前を keylime_policy ではなく、keylime-policy に変更します
 * keylime_policyruntime の作成 削除 --use-ima-measurement-list
 * keylime_policycreate_runtime_policy に一貫した引数名を使用します
 * build(deps)pypa/gh-action-pypi-publish を 1.10.2 から 1.10.3へ更新します
 * build(deps)アクション/チェックアウトを 4.1.7 から 4.2.0へ更新します
 * elchecking/example空の PK、KEK、db および dbx の回避策
 * elcheckingEV_EFI_PLATFORM_FIRMWARE_BLOB2 の処理を追加します
 * create_runtime_policyデバッグメッセージのログレベルを修正します
 * build(deps)pypa/gh-action-pypi-publish を 1.10.1 から 1.10.2へ更新します
 * build(deps)peter-evans/create-pull-request を 6.1.0 から 7.0.5へ更新します
 * pylintrcto-many-positional-arguments チェックを無視します
 * keylime/web/base/controllerTypeAlias の定義をクラス外に移動します
 * create_runtime_policy複数のスレッドでダイジェストを計算します
 * create_runtime_policyrootfs が任意のディレクトリにあることを許可します
 * keylime_policy各ソースから個別にダイジェストを計算します
 * create_runtime_policyboot_aggregate 解析を簡素化します
 * ima文字列から IMA キーリングをロードする際に JSON を検証します
 * docsサイドバーにも IdevID ページが含まれます
 * docsRHEL および SLE Micro からのインストールガイドを参照します
 * build(deps)actions/setup-python を 5.1.1 から 5.2.0へ更新します
 * build(deps)pypa/gh-action-pypi-publish を 1.9.0 から 1.10.1へ更新します
 * check_tpm_origin_check を登録を妨げない警告に変更します
 * docs現実を反映するために Runtime Policy JSON スキーマが修正されます
 * rootfs ディレクトリ内のファイルに絶対パスを設定します
 * policy/create_runtime_policy除外リストの空の行の処理を修正します
 * keylime_policy「log_hash_alg」を「sha1」に設定テンプレートハッシュアルゴリズム
 * codestyleCERTIFICATE_PRIVATE_KEY_TYPES を直接割り当てますpyright
 * codestyle期待される型を取得するために bytearray をバイトに変換しますpyright
 * codestyleデータタイプを変更した後に新しい変数を使用しますpyright
 * cert_utils暗号を使用するローディングが失敗する可能性がある説明を追加します
 * imaランタイムポリシーの名前をリストします
 * build(deps)docker/build-push-action が 6.6.1 から 6.7.0へ更新されます
 * toxpython 3.103.6] の代わりに を使用します
 * revocation_notifierweb_util を使用して TLS コンテキストを生成します
 * mbamba のロード時にカスタムポリシーをスキップするオプションを追加します。
 * build(deps)docker/build-push-action が 6.5.0 から 6.6.1へ更新されます
 * build(deps)docker/metadata-action を 4.6.0 から 5.5.1へ更新します
 * cmd/keylime_policykeylime ポリシーを処理するためのツールを追加します
 * cert_utilsis_x509_cert() を追加します
 * common/algorithmsEncrypt および Sign クラスを enum に変換します
 * common/algorithmsファイルのダイジェストを計算するためのメソッドを追加します
 * build(deps)docker/build-push-action が 4.2.1 から 6.5.0へ更新されます
 * build(deps)docker/login-action を 3.2.0 から 3.3.0へ更新します
 * build(deps)docker/metadata-action を 4.6.0 から 5.5.1へ更新します
 * build(deps)docker/login-action を 3.2.0 から 3.3.0へ更新します
 * build(deps)docker/build-push-action が 6.4.1 から 6.5.0へ更新されます
 * build(deps)docker/build-push-action が 4.2.1 から 6.4.1へ更新されます
 * build(deps)docker/metadata-action を 4.6.0 から 5.5.1へ更新します
 * build(deps)pre-commit/action を 3.0.0 から 3.0.1へ更新します
 * tpmpython-cryptography で KDF と ECDH の実装を置き換えます
 * build(deps)codecov/codecov-action を 2.1.0 から 4.5.0へ更新します
 * build(deps)docker/login-action を 2.2.0 から 3.2.0へ更新します
 * build(deps)actions/setup-python を 2.3.4 から 5.1.1へ更新します
 * build(deps)actions/first-interaction を更新します
 * build(deps)アクション/チェックアウトを 2.7.0 から 4.1.7へ更新します
 * revocation_notifierCA 証明書のバンドルを明示的に追加します
 * 新しい REST API フレームワークとリファクタリングレジスタ実装を導入します
 * mbanamed 測定起動ポリシーをサポートします
 * tenantmTLS CA が不適切に構成された場合の Friendlier エラーメッセージが追加されます
 * ca_impl_opensslRFC 5280 に続いて重要度最高として拡張をマークします
 * KL 生成証明書に権限キー識別子を含めます
 * verifyer、tenantエージェントのペイロードを完全に任意にします

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1237153

https://bugzilla.suse.com/1254199

https://www.suse.com/security/cve/CVE-2025-1057

https://www.suse.com/security/cve/CVE-2025-13609

プラグインの詳細

深刻度: Medium

ID: 278643

ファイル名: openSUSE-2025-20159-1.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2025/12/15

更新日: 2025/12/16

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2025-1057

CVSS v3

リスクファクター: Medium

基本値: 4.3

現状値: 3.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:keylime-tpm_cert_store, p-cpe:/a:novell:opensuse:keylime-config, p-cpe:/a:novell:opensuse:keylime-registrar, p-cpe:/a:novell:opensuse:keylime-verifier, p-cpe:/a:novell:opensuse:keylime-logrotate, p-cpe:/a:novell:opensuse:keylime-tenant, p-cpe:/a:novell:opensuse:keylime-firewalld, p-cpe:/a:novell:opensuse:python313-keylime

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/12/12

脆弱性公開日: 2025/2/14

参照情報

CVE: CVE-2025-1057, CVE-2025-13609