openSUSE 16 セキュリティ更新glib2openSUSE-SU-2026:20018-1

critical Nessus プラグイン ID 284812

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティアップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20018-1 アドバイザリで言及されています。

バージョン 2.84.4 に更新してください。

セキュリティの問題を修正:

- CVE-2025-14512悪意のあるファイルまたはリモートファイルシステムの属性値を処理する際の GIO 「escape_byte_string()」関数の整数オーバーフローが、サービス拒否を引き起こす可能性がありますbsc#1254878]
- CVE-2025-14087攻撃者が影響を受けるデータを処理する際の GVariant パーサーの「bytestring_parse()」関数と「string_parse()」関数のバッファアンダーフローにより、クラッシュやコードの実行が引き起こされる可能性がありますbsc#1254662。
- CVE-2025-13601許容されない文字が多数含まれる文字列を処理する際の「g_escape_uri_string()」関数のヒープベースのバッファオーバーフローにより、クラッシュやコードの実行が引き起こされる可能性がありますbsc#1254297] 。
- CVE-2025-7039一時ファイルを作成する際の整数オーバーフローにより、一時ファイル内の機密コンテンツのパストラバーサルや漏洩に使用される可能性がある領域外メモリアクセスが発生する可能性がありますbsc#1249055。

その他の問題の修正および変更点:

- エラー処理中の「g_local_file_set_display_name」の GFile 漏洩を修正します。
- 「g_settings_bind_with_mapping_closures」のクロージャヘルパーの不適切な出力パラメーター処理を修正します。
- 「gfileutils」一時ファイル名の計算を修正します。
- 「g_local_file_set_display_name()」の GFile 漏洩を修正します。
- 「gthreadpool」「pool_spawner」作成失敗をキャッチします。
- 「gio/filenamecompleter」漏洩を修正します。
- 「gfilenamecompleter」未定義の値の「g_object_unref()」を修正します。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1249055

https://bugzilla.suse.com/1254297

https://bugzilla.suse.com/1254662

https://bugzilla.suse.com/1254878

https://www.suse.com/security/cve/CVE-2025-13601

https://www.suse.com/security/cve/CVE-2025-14087

https://www.suse.com/security/cve/CVE-2025-14512

https://www.suse.com/security/cve/CVE-2025-7039

プラグインの詳細

深刻度: Critical

ID: 284812

ファイル名: openSUSE-2026-20018-1.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2026/1/15

更新日: 2026/2/12

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-14087

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libglib-2_0-0, p-cpe:/a:novell:opensuse:glib2-devel-static, p-cpe:/a:novell:opensuse:typelib-1_0-glibunix-2_0, p-cpe:/a:novell:opensuse:libgirepository-2_0-0, p-cpe:/a:novell:opensuse:libgmodule-2_0-0, p-cpe:/a:novell:opensuse:glib2-tools, p-cpe:/a:novell:opensuse:gio-branding-upstream, cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:typelib-1_0-girepository-3_0, p-cpe:/a:novell:opensuse:typelib-1_0-gmodule-2_0, p-cpe:/a:novell:opensuse:glib2-lang, p-cpe:/a:novell:opensuse:libgio-2_0-0, p-cpe:/a:novell:opensuse:glib2-devel, p-cpe:/a:novell:opensuse:typelib-1_0-gobject-2_0, p-cpe:/a:novell:opensuse:libgobject-2_0-0, p-cpe:/a:novell:opensuse:typelib-1_0-gio-2_0, p-cpe:/a:novell:opensuse:glib2-tests-devel, p-cpe:/a:novell:opensuse:typelib-1_0-glib-2_0, p-cpe:/a:novell:opensuse:libgthread-2_0-0

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/1/12

脆弱性公開日: 2025/8/11

参照情報

CVE: CVE-2025-13601, CVE-2025-14087, CVE-2025-14512, CVE-2025-7039