検出

SUSE SLED15 / SLES15 セキュリティ更新python313SUSE-SU-2026:0024-1

medium Nessus プラグイン ID 281836

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:0024-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 バージョン 3.13.11 に更新してください。

 セキュリティの問題を修正:

 - CVE-2025-12084「_clear_id_cache()」に依存する「xml.dom.minidom」メソッドを使用してネストされた要素を構築する際の二次複雑により、過度にネストされたドキュメントを構築する際に可用性の問題が発生する可能性がありますbsc#1254997
 - CVE-2025-13836読み込み量が指定されていない HTTP 応答を読み取る際にデフォルトで「Content-Length」を使用すると、クライアントが悪意あるサーバーを処理する際に OOM 問題や DoS が発生する可能性がありますbsc#1254400。
 - CVE-2025-13837ファイル自体によって指定されたサイズに従って plistlib モジュールによって読み取られるデータは、OOM 問題および DoS を引き起こす可能性がありますbsc#1254401。

 その他の更新およびバグ修正:

 - バージョン 3.13.11:
 * ライブラリ
 - gh-140797文書化されていない re.Scanner クラスへの変更を元に戻します。グループのキャプチャは、不適切な結果につながる可能性がありますが、後方互換性で引き続き許可されています。これらは、将来の Python バージョンで禁止されます。
 - gh-142206マルチプロセッシングモジュールのリソーストラッカーは、デフォルトで、Python 3.14.0 以降で、元の通信プロトコルを使用するようになりました。これにより、Python 実行中のアップグレードに関する問題が回避されます。このようなインプレースアップグレードはテストされません。トラッカーは、新しいプロトコルを使用するサブプロセスと互換性がありますつまり、Python 、 3.13.103.14.1 、 3.15を使用しているサブプロセスと互換性があります。
 * コアおよびビルトイン
 - gh-142218既存のキーに一致する非 str キーで分割テーブルディクショナリに挿入する際のクラッシュを修正します。

 - へのバージョン 3.13.10
 * セキュリティ
 - gh-137836html.parser.HTMLParser の平文要素、RAWTEXT 要素 xmp、iframe、noembed、noframes、およびオプションで RAWTEXT 要素 noscript のサポートを追加します。
 - gh-136063email.messageレガシー HTTP パラメーター解析のために線形複雑性を確保します。B?n?dikt Tran 氏によるパッチ。
 * ライブラリ
 - gh-74389subprocess.Popen インスタンスにより使用されている stdin が閉じているとき、クラスを一貫性のない状態のままにするのではなく、subprocess.Popen.communicate() でこれは今では無視されます。
 - gh-87512大きな入力を書き込むときの Windows の subprocess.Popen.communicate() タイムアウト処理を修正します。以前は、stdin の書き込み中にタイムアウトが無視される可能性がありました。これにより、子プロセスが入力を素早く消費しない場合に、メソッドが無期限にブロックされていました。stdin 書き込みがバックグラウンドスレッドで実行されるようになり、タイムアウトが適切に強制されるようになりました。
 - gh-141473subprocess.Popen.communicate() が入力とタイムアウトで呼び出され、プロセスが終了する前に TimeoutExpired 例外が発生した後に 2 回目に呼び出された場合、ハングしないようにする必要があります。
 - gh-59000クラスを定義するモジュールがインポートされないとき、クラスメソッドの pdb ブレークポイント解決を修正します。
 - gh-141570カラー検出で fileno() から OSError を引き上げるファイル型オブジェクトをサポートします_colorize.can_colorize()。
 これは、sys.stdout がリダイレクトされる場合に発生する可能性があります。
 - gh-141659 からの不良なファイル記述子エラーを修正します
 AIX の _posixsubprocess。
 - gh-141497ipaddressIPv4Network.hosts() と IPv6Network.hosts() のメソッドが常にイテレーターを返すようにします。
 - gh-140938status.stdev() およびstatus.pstdev() 関数は、入力に無限または NaN が含まれている場合、ValueError を発生させるようになりました。
 - gh-124111スレッドが Tcl 9 以降で常に利用可能であると想定するために、_tkinter で Tcl スレッド構成を更新しました。
 - gh-137109Linux または macOS プラットフォーム API がプロセスのスレッド数を返し、os.register_at_fork() がafter_in_parent= コールバックにより、スレッドが再起動されます。
 - gh-141314スタンドアロンのキャリッジリターン\r]行終端でファイルを読み取る際の io.TextIOWrapper.tell() のアサーション失敗を修正します。
 - gh-141311io.BytesIO.readinto() のアサーション失敗と io.BytesIO の capity を超えると読み取り位置が上にある場合に発生する未定義の動作を修正します。
 - gh-141141base64.b85decode() にあるスレッドの安全性の問題を修正します。Benel Tayar 氏による報告。
 - gh-140911collectionsUserString.rindex() および UserString.index() メソッドがサブ引数として Collections.UserString インスタンスを受け入れるようにします。
 - gh-140797文書化されていない re.Scanner クラスは、そのレキシコンパターンにおいてキャプチャグループを含む正規表現を禁止するようになりました。キャプチャグループを使用するパターンは、以前はセグメンテーション違反でクラッシュを引き起こす可能性がありました。代わりに非キャプチャグループ (?:) を使用します。
 - gh-140815faulthandler はフレームまたはコードオブジェクトが無効または解放された場合に、それを検出するようになりました。Victor Stinner 氏によるパッチ。
 - gh-100218socket.if_nametoindex() または socket.if_indextoname() が OSError を発生させる場合、errno を正しく設定します。B?n?dikt Tran 氏によるパッチ。
 - gh-140875convert_charrefs=False で html.parser.HTMLParser のファイルの終わりが続く、閉じられていない文字参照名前および数値の処理を修正します。
 - gh-140734multiprocessing一時ソケットファイルパスの長さを確認する際に発生する off-by-one エラーを修正します。B?n?dikt Tran 氏によるパッチ。
 - gh-140874ensurepip でバンドルされている pip のバージョンを に更新します 25.3
 - gh-140691urllib.request で、データ接続を確立できないために FTP URL を開くことが失敗する場合、ResourceWarning を回避するためにコントロール接続ソケットが閉じられます。
 - gh-103847asyncio.create_subprocess_exec() または asyncio.create_subprocess_shell() によって作成されたプロセスをキャンセルする際のハングアップを修正します。Kumar Aditya 氏によるパッチ。
 - gh-140590内部状態の破損とクラッシュを引き起こす可能性のある functools.partial.__setstate__() に対する引数チェックを修正します。Sergey Miryanov 氏によるパッチ。
 - gh-140634os.sched_param.__reduce__() の参照カウントのバグを修正します。
 - gh-140633モジュールの設定時に AttributeError を無視します
 Apple Framework としてパッケージされた拡張モジュールをロードする際に __file__ 属性を利用することが可能です。
 - gh-140593xml.parsers.expatカスタム要素宣言ハンドラーに設定された ElementDeclHandler() のユーザーに影響を与える可能性のあるメモリ漏洩を修正します。Sebastian Pipping 氏によるパッチ。
 - gh-140607io.RawIOBase.read() 内部で、io.RawIOBase.readinto() によって返されるバイト数が有効であることを検証します提供されたバッファ内部。
 - gh-138162merge_extra=True で余分な引数のない logging.LoggerAdapter を修正します。
 - gh-140474空の str と u タイプコードから配列を作成する際の array.array でのメモリ漏洩を修正します
 - gh-140272dbm.gnu データベースの clear() メソッドでのメモリ漏洩を修正します
 - gh-140041ABI フラグが存在する場合、Android と Cygwin で ctype のインポートを修正します。
 - gh-139905親クラスがその __init_subclass__ で super().__init_subclass__() を呼び出すことに失敗しているため、cls.__parameters__ が欠落している場合、type.Generic サブクラスのエラーメッセージに提案を追加します。
 - gh-139845デフォルトの asyncio REPL で KeyboardInterrupt を 2 度出力しないように修正します。
 - gh-139783decorator の後にコメントまたは空の行が続く場合の inspect.getsourcelines() を修正します。
 - gh-70765http.serverBaseHTTPRequestHandler の HTTP/0.9 リクエストのデフォルト処理を修正します。以前は、BaseHTTPRequestHandler.parse_request() は、HTTP/ でサポートされていないにも関わらず、リクエストのヘッダーを間違って待機していました0.9。B?n?dikt Tran 氏によるパッチ。
 - gh-139391非 Windows プラットフォームで、python -m asyncio プロセスを正常に終了できず、その後 kill 以外の fg で再開される問題を修正します。
 - gh-101828マルチ文字シーケンスの一部として扱われていた NULL 文字を切り捨てていた「shift_jisx0213」、「shift_jis_2004」、「euc_jisx0213」、「euc_jis_2004」コーデックを修正します。
 - gh-139246修正デフォルトの repl 幅でのゼロ幅のペーストが間違っています。
 - gh-90949SetAllocTrackerActivationThreshold() と SetAllocTrackerMinimumAmplification() を xmlparser オブジェクトに追加し、Expat パーサー内から不均衡な量の動的メモリの使用を防ぎます。B?n?dikt Tran 氏によるパッチ。
 - gh-139065textwrap で行の長さが正確な幅である場合、ラップされた長い単語の前にある末尾のスペースを修正します。
 - gh-138993Dedent クレジットテキスト。
 - gh-138859タイプのリストではないデフォルトを持つ ParamSpec を省略する際に、TypeError を発生させるジェネリックタイプパラメーター化を修正します。
 - gh-138775base64 での python -m の使用が修正され、ターミナルからの入力が検出され、EOF が適切に通知されるようになりました。
 - gh-98896SharedMemory 名にコロンが含まれている場合のマルチプロセッシング resource_tracker の失敗を修正します。Rani Pinchuk 氏によるパッチ。
 - gh-75989tarfile.TarFile.extractall() および tarfile.TarFile.extract() は、ハードリンクを抽出する際に、シンボリックリンクを上書きするようになりました。gh-75989 の Alexander Enrique Ulieles Nieto 氏による貢献。
 - gh-83424ハンドルを引数として渡す際に、名前なしで ctypes.CDLL を作成することができます。
 - gh-136234write() と同じ動作を使用することで、asyncio.WriteTransport.writelines() が接続障害に対して堅牢になるように修正します。
 - gh-136057pdb と bdb のバグを修正しました。これは、行にループが存在する場合に、次とステップが行をまたがることができます。
 - gh-135307メールテキストのエンコードにおける max_line_length が 0 またはなし無制限に設定されている場合、set_content() の例外を修正します。
 - gh-134453POSIX プラットフォーム上で非バイト形状であった memoryview インスタンスの subprocess.Popen.communicate() input= 処理を修正しました。それらは入力を切り捨てるのではなく、バイト型のビューに適切にキャストされるようになりました。Windows プラットフォームにはこのバグがありませんでした。
 - gh-102431decimal.Context のメソッドにおける論理引数の制約を明確にします。
 * IDLE
 - gh-96491ファイルへの保存後に IDLE シェルタイトルバーのバージョン番号の重複を排除します。
 * コアおよびビルトイン
 - gh-142048free-threaded ビルドで二次関数的に増加するガベージコレクションの遅延を修正します。
 - gh-141930モジュールをインポートする際、Python の正規ファイルオブジェクトを使用して、.pyc ファイルへの書き込みが完了するか、適切なエラーが発生するようにします。
 - gh-120158モニタリングイベントの有効化または無効化が多すぎるときの一貫性のない状態を修正します。
 - gh-141579perf_jit バックエンドを適切にサポートするために sys.activate_stack_trampoline() を修正しますPablo Galindo 氏によるパッチ。
 - gh-141312非整数引数が渡される際の範囲反復子の __setstate__ メソッドのアサーション失敗を修正します。Sergey Miryanov 氏によるパッチ。
 - gh-140939bytearray または bytes が広い幅の %*b フォーマットでフォーマットされている場合に、メモリ漏洩を修正します。これにより %a MemoryError が発生します。
 - gh-140530原因から ex を起動できないときの参照漏洩を修正します。B?n?dikt Tran 氏によるパッチ。
 - gh-140576特定の不適切な入力がある場合の tokenize.generate_tokens() のクラッシュを修正しました。Mikhail Efimov 氏によるパッチ。
 - gh-140551dict.clear() が検索の段階で呼び出された場合の dict でのクラッシュを修正しました。Mikhail Efimov 氏および Inada Linux 氏によるパッチ。
 - gh-140471non-str が含まれる無効な形式の _fields に遭遇したときに、ast.AST ノード初期化で発生する可能性のあるバッファオーバーフローを修正します。
 - gh-140406object __hash__() メソッドが int ではないオブジェクトを返す際のメモリ漏洩を修正します
 - gh-140306クロスインタープリターチャネル操作および共有された名前空間処理におけるメモリリークを修正します。
 - gh-140301サブインタープリターの PyConfig のメモリ漏洩を修正します。
 - gh-140000typeing.TypeAliasType、type.TypeVar、typeing.ParamSpec、またはating.TypeVarTupple のインスタンスとその __name__ 属性のインスタンス間に参照サイクルが存在する場合に、潜在的なメモリ漏洩を修正します。Mikhail Efimov 氏によるパッチ。
 - gh-139748compile() や os.system() などのパス文字列やバイトを受け入れる関数のエラーブランチにある参照漏洩を修正します。B?n?dikt Tran 氏によるパッチ。
 - gh-139516lambda コロンが誤ってフォーマット仕様を開始するのを修正します。tokenizer の f-string で見つかりました。
 - gh-139640誤って同じメッセージがあり、同じ行から出力されている場合、異なるモジュールでの一部の構文警告を受け入れるのを修正します。finally ブロックの重複した警告を修正します。
 - gh-137400PyEval_SetProfileAllThreads() または PyEval_SetTraceAllThreads() またはその Python 同等もの threading.settrace_all_threads() および threading.setprofile_all_threads() ですべてのスレッドにまたがるプロファイリングまたはトレースを無効にする際の、フリースレッドビルドのクラッシュを修正します。
 - gh-133400_pyrepl モジュールでの Ctrl+D^Dの動作を修正し、古い より前の REPL の動作と一致させます。
 * C API
 - gh-140042複数の sub インタープリターで使用されているときに sqlite の接続を閉じる可能性がある sqlite3_shutdown 呼び出しを削除しました。
 - gh-140487制限された C API 3.11 およびそれ以前の Py_RETURN_NOTIMPLEMENTED を修正しますPy_NotImplemented を不変として扱いません。
 Victor Stinner 氏によるパッチ。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1254400

https://bugzilla.suse.com/1254401

https://bugzilla.suse.com/1254997

http://www.nessus.org/u?a2425205

https://www.suse.com/security/cve/CVE-2025-12084

https://www.suse.com/security/cve/CVE-2025-13836

https://www.suse.com/security/cve/CVE-2025-13837

プラグインの詳細

深刻度: Medium

ID: 281836

ファイル名: suse_SU-2026-0024-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2026/1/6

更新日: 2026/1/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

基本値: 9.4

現状値: 7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:C

CVSS スコアのソース: CVE-2025-13836

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.3

Threat Score: 1.7

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:python313-idle, p-cpe:/a:novell:suse_linux:python313-dbm, p-cpe:/a:novell:suse_linux:libpython3_13-1_0, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:python313-tk, p-cpe:/a:novell:suse_linux:python313-tools, p-cpe:/a:novell:suse_linux:python313, p-cpe:/a:novell:suse_linux:python313-devel, p-cpe:/a:novell:suse_linux:python313-base, p-cpe:/a:novell:suse_linux:python313-curses

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/1/5

脆弱性公開日: 2025/12/1

参照情報

CVE: CVE-2025-12084, CVE-2025-13836, CVE-2025-13837

SuSE: SUSE-SU-2026:0024-1