SUSE SLES16 セキュリティ更新go1.24SUSE-SU-2025:21193-1
medium Nessus プラグイン ID 278770
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES16 / SLES_SAP16 ホストには、 SUSE-SU-2025:21193-1 アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。go1.24.11に更新します。
セキュリティの問題を修正:
- CVE-2025-47912net/url括弧付き IPv6 ホスト名の検証が不十分bsc#1251257
- CVE-2025-58183archive/tarGNU スパースマップを解析する際の際限のない割り当てbsc#1251261。
- CVE-2025-58185entity/asn1DER ペイロードを解析する際にメモリを事前に割り当てると、メモリ枯渇が引き起こされる可能性がありますbsc#1251258。
- CVE-2025-58186net/httpCookie を解析する際に制限がないため、メモリを枯渇させる可能性がありますbsc#1251259。
- CVE-2025-58187crypto/x509名前制約をチェックする際の二次複雑性bsc#1251254
- CVE-2025-58188crypto/x509DSA 公開鍵で証明書を検証する際にパニックしますbsc#1251260。
- CVE-2025-58189crypto/tlsALPN ネゴシエーションエラーに、攻撃者が制御する情報が含まれていますbsc#1251255。
- CVE-2025-61723entity/pem一部の無効な入力を解析する際の二次複雑性bsc#1251256。
- CVE-2025-61724net/textprotoReader.ReadResponse の過剰な CPU 消費bsc#1251262。
- CVE-2025-61725net/mailParseAddress の過剰な CPU 消費bsc#1251253。
- CVE-2025-61727crypto/x509除外されたサブドメイン制約は、ワイルドカード SAN を除外しませんbsc#1254430。
- CVE-2025-61729crypto/x509ホスト証明書検証用のエラー文字列の出力での過剰なリソース消費bsc#1254431。
その他の修正された問題と変更
- バージョン 1.24.11:
* go#76378 internal/cpuloong64 での不適切な CPU 機能ビット解析により、 LA364 コアで不正な命令コアダンプが発生します
- バージョン 1.24.10:
* go#75831 net/urlipv4 にマッピングされた ipv6 アドレスは、角括弧内で有効である必要があります
* go#75951 entity/pem先頭のガベージがあるブロックをデコードする際の回帰
* go#76028 pem/encoding無効な形式の行末がパニックを引き起こす可能性があります
- バージョン 1.24.9:
* go#75860 crypto/x509末尾のドットを持つ FQDN で TLS 検証が失敗します
- バージョン 1.24.8:
* go#75138 osRoot.OpenRoot が不適切な名前を設定し、元のルートのプレフィックスを失っています
* go#75220 debug/pellvm-mingw 21 によって作成されたオブジェクトファイルで pe.Open が失敗します
* go#75351 cmd/link空のコンテナシンボルのため、CGO が有効になっている riscv64 でのパニック
* go#75356 net新しいテスト TestIPv4WriteMsgUDPAddrPortTargetAddrIPVersion が Plan9 で失敗します
* go#75359 os新しいテスト TestOpenFileCreateExclDanglingSymlink が Plan 9 で失敗します
* go#75523 crypto/internal/fips140/rsaセルフテストが失敗した場合、パニックが必要です
* go#75538 net/http内部エラーconnCount アンダーフロー
* go#75594 cmd/compilegithub.com/leodido/go-urn 上の GOEXPERIMENT=cgocheck2 にある内部コンパイラエラー
* go#75609 sync/atomicUintptr.Or のコメントが戻り値を不適切に説明しています
- バージョン 1.24.7:
* go#75007 os/execTestLookPath が CL 685755 後のplan9 で失敗します
* go#74821 cmd/gogettoolchain@latest はリリース候補を無視する必要があります
* go#74818 netWriteMsgUDPAddrPort は、IPv4 UDP ソケット上の IPv4 にマッピングされた IPv6 宛先アドレスを受け入れる必要があります
- パッケージupdate-alternatives から libalternatives へ移行しますbsc#1245878。
- svgpan.js をパッケージして go ツール pprof の問題を修正bsc#1249985]
- go1.22+ で未使用の gccgo ブートストラップコードをドロップしますbsc#1248082。
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるgo1.24、go1.24-doc、go1.24-libstd、go1.24-raceのパッケージを更新してください。参考資料
https://bugzilla.suse.com/1236217
https://bugzilla.suse.com/1245878
https://bugzilla.suse.com/1247816
https://bugzilla.suse.com/1248082
https://bugzilla.suse.com/1249985
https://bugzilla.suse.com/1251253
https://bugzilla.suse.com/1251254
https://bugzilla.suse.com/1251255
https://bugzilla.suse.com/1251256
https://bugzilla.suse.com/1251257
https://bugzilla.suse.com/1251258
https://bugzilla.suse.com/1251259
https://bugzilla.suse.com/1251260
https://bugzilla.suse.com/1251261
https://bugzilla.suse.com/1251262
https://bugzilla.suse.com/1254430
https://bugzilla.suse.com/1254431
http://www.nessus.org/u?1334a70a
https://www.suse.com/security/cve/CVE-2025-47912
https://www.suse.com/security/cve/CVE-2025-58183
https://www.suse.com/security/cve/CVE-2025-58185
https://www.suse.com/security/cve/CVE-2025-58186
https://www.suse.com/security/cve/CVE-2025-58187
https://www.suse.com/security/cve/CVE-2025-58188
https://www.suse.com/security/cve/CVE-2025-58189
https://www.suse.com/security/cve/CVE-2025-61723
https://www.suse.com/security/cve/CVE-2025-61724
https://www.suse.com/security/cve/CVE-2025-61725
プラグインの詳細
深刻度: Medium
ID: 278770
ファイル名: suse_SU-2025-21193-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/12/16
更新日: 2025/12/16
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.1
CVSS v2
リスクファクター: High
基本値: 8.5
現状値: 6.3
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:C
CVSS スコアのソース: CVE-2025-47912
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2025-61727
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:go1.24-libstd, p-cpe:/a:novell:suse_linux:go1.24-race, cpe:/o:novell:suse_linux:16, p-cpe:/a:novell:suse_linux:go1.24, p-cpe:/a:novell:suse_linux:go1.24-doc
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/12/12
脆弱性公開日: 2025/10/23
参照情報
CVE: CVE-2025-47912, CVE-2025-58183, CVE-2025-58185, CVE-2025-58186, CVE-2025-58187, CVE-2025-58188, CVE-2025-58189, CVE-2025-61723, CVE-2025-61724, CVE-2025-61725, CVE-2025-61727, CVE-2025-61729
SuSE: SUSE-SU-2025:21193-1