検出

openSUSE 16 セキュリティ更新gimpopenSUSE-SU-2026:20055-1

high Nessus プラグイン ID 291313

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20055-1 アドバイザリで言及されています。

 gimp の変更

 3.0.6 に更新:

 - セキュリティ:

 - 開発中に、ファイルインポートプラグインの一部にある潜在的なセキュリティ問題に関する報告を、Zero Day イニシアチブから受け取りました。これらの問題が実際のファイルで発生する可能性は低いですが、Jacob Boerema 氏と Alx Sa 氏などの開発者がこれらのインポートのセキュリティをプロアクティブに改善しました。
 解決されたレポートは次の通りです。
 - ZDI-CAN-27793
 - ZDI-CAN-27823
 - ZDI-CAN-27836
 - ZDI-CAN-27878
 - ZDI-CAN-27863
 - ZDI-CAN-27684

 - コア:

 - 多くの誤検出のビルド警告が排除されましたおよび適切な問題が修正されました。
 - さまざまなクラッシュが修正されました。
 - レイヤーのアルファからレイヤーマスクを作成しても、レイヤーにアルファがない場合は、完全に透明なレイヤーではなく、完全な不透明でマスクを単に埋め込みます。
 - drawingable、レイヤーおよびフィルター処理コード、ツリービューコードなどにおいて、さまざまなコアインフラストラクチャコードがレビューされ、クリーンアップされ、リファクタリングされ、改善されました。
 - GIMP_ICONS_LIKE_A_BOSS 環境変数は機能しなくなりましたgtk-menu-images および gtk-button-images が GTK3 で廃止され、GTK4 で削除されているため、削除されました。
 - コンテンツのロックが取り消しステップとして表示されるようになりました。
 - 特定の変換に対してアルファチャネルを追加します。
 - 必要に応じて、フィルターマージにアルファチャネルを追加します。
 - フィルターがチャネルに非破壊的に適用できるようになりました。
 - Photoshop ブラシサポートの改善。
 - パレットエントリを削除すると、次のエントリが自動的に選択されます。これにより、いくつかのエントリを連続して簡単に削除できます。
 - 選択に関係なく、イメージをレイヤーにサイズ変更します。
 - GUI 内リリースノートのデモスクリプト言語を改善

 - クリックするためにボタンの値を設定できるようになりましたtoolbox:text、tool-options:outline=1、tool-options:outline-direction
 - カラーセレクターのモジュール名が識別子として使用可能です
 color-editor,color-editor:CMYK=1,color-editor:total-ink-coverage

 - 透明度のない単一レイヤーの選択にアルファを修正。
 - さまざまなコードがより新しいコードにゆっくりとポートされ、GTK4 ポートの準備をしています計画されていない将来のステップ

 - g_set_str() を使用しますGLib の最小要件の更新を回避するためにコアコードでオプションで再定義します。
 - さまざまなコード部分で GListModel の使用を開始し、特に可能な限り GtkTreeView をますます使用しないようにしますGTK4 で廃止されるためです。
 - 今後すべての行ウィジェットに対する新しい GimpRow クラス。
 - 関連する G_DECLARE_DERIVABLE_TYPE および G_DECLARE_FINAL_TYPE を追加で使用します。
 - GtkListBox を使用する新しい GimpContainerListView。
 - 新しい GimpRowSeparator、GimpRowSettings、GimpRowFilter、GimpRowDrawableFilter ウィジェット。

 - 実験版GEX Format が更新されました。
 - パレットインポート

 - 画像パレットインポート用のアルファ値を設定します。
 - Lab & CMYK ACB パレットインポートを修正。
 - インポートダイアログにパレットフォーマットフィルターを追加し、サポートされているパレットフォーマットをより明確にし、無関係のファイルを非表示にする機能を追加します。

 - フィルターアクションのセンシティブを改善し、関連がある場合は確実に設定されるようにしました。特に、非破壊的に実行できないフィルター (例 : 補助入力のあるフィルター、非対話型フィルター、GEGL グラフ) は、グループレイヤーで実行する際に反応しなければなりません。
 - ズームアウトの不良な軸を修正します。
 - パスをエクスポートする際に SVG をエクスポートするように改善。

 - Tools:

 - テキストツールユーザーが色の変更を確定した場合のみ、デフォルトの色が変更されるようにします。
 - 前方の選択ツールストロークが作成されていないときは選択を作成しません。特に、これにより、実際には何も操作せずに別のツールに切り替える場合に発生していた不要な遅延が削除されます。
 - すべての変換ツールプレビューの変換境界はマルチレイヤーに対応しました。
 - 実験的Seamless Clone ツールPlayground から出力するのがまだ時間がかかりますが、再び機能するようになりました。

 - グラフィカルユーザーインターフェース

 - ウィンドウ管理に対する様々な改善

 - Keep-Above ウィンドウは、Utility ヒントで設定されます。
 - ユーティリティウィンドウは、親に対して一時的ではありません。
 - 一時的なファクトリーダイアログはアクティブな表示に従うので、新しいイメージウィンドウでツールボックスやドックウィンドウが非表示にされないようにします。

 - インターフェイスのスタイルのための様々な CSS の改善。いくつかのテーマの漏洩も修正されました。
 - ブラシとフォントでドッキング可能な新しいトグルボタンにより、ブラシとフォントのプレビューでカラーテーマに任意に従うようになりました。
 たとえば、暗いテーマを使用している場合、テーマの前面の色を使用して、テーマの背景にブラシとフォントのプレビューが描画される可能性があります。デフォルトでは、これらのデータプレビューは依然として白黒で描画されます。
 - パレットグリッドがテーマの背景色で描画されるようになりました。
 - ヒューマンページオプションの一貫した命名パターン最初の単語のみが大文字になります。
 - ダイアログについて

 - <time> 文字列での <date> 最終チェック日] 文字列とは異なる、 <date> 文字列での [最新 <time> 文字列に、最後のチェックの日時が表示されるようになりました。前者は GIMP が本当に最新の状態であることを示すために使用され、後者は新しいバージョンがリリースされたとき、更新する必要があることを示します。
 - macOS および Windows のシステム時刻/日付形式を反映するようになりました。

 - 検索ポップアップは画像がない場合は表示されません。
 - コンテナポップアップ(ペイントツールオプションのブラシポップアップなど) のデータプレビューにおけるズームステップアルゴリズムの改善。
 - アニメーションがシステム設定で無効になっている場合、スタック移行の入力コントローラー、環境設定、ようこそダイアログでアニメーションを無効にします。
 - Windows 上のクロスヘッドホットスポットを修正しました100% 以外の表示スケール因子でツール用のクロス修正カーソルがオフセットされていました。
 - デバッグ/重大ダイアログ

 - 非モーダルであることを確認してください。
 - Windows のテーマモードに従います。

 - 画像のロード中、[キャンセル] ボタンと進行状況バーを除いて、ファイルダイアログのすべてのウィジェットが区別されなくなります。
 - グリッドビューとリストビューの両方が、スクロールおよびズームのジェスチャーでズームできるようになりましたこれまではリストビューでのみ動作可能でした。
 - HTTPS リンクを読み取る GIO モジュールが見つからず、そのためリモート gimp_versions.json ファイルのロードに失敗する場合、起動時にエラーメッセージをポップアップ表示します。特に AppImage パッケージでは、 パッケージで出荷できない環境デーモンに依存しています。したがって、次に最善のことは、ユーザーに警告を発し、バージョンチェックを受けるために何をインストールする必要があるのかを通知することです。
 - ようこそダイアログ

 - コミュニティチュートリアルのリンクが、ドキュメントのリンクの後に表示されるようになりました。
 - [リリースノート] タブの [詳細] リンクをクリックすると、このバージョンの実際のリリースニュースにつながります。

 - プラグイン

 - PDF エクスポート無効なレイヤーマスクを描画しません。
 - Jigsawプラグインが透明レイヤーに描画できるようになりました。
 - さまざまなファイルフォーマットの修正と改善JPEG 2000 インポート、TIFF インポート、DDS インポート、SVG インポート、PSP インポート、FITS エクスポート、ICNS インポート、Dicom インポート、WBMP インポート、Farbfeld インポート、XWD インポート、ILBM インポート。
 - Sphere Designerスピンエントリの代わりにスピンスケールを使用します水平スペースがほとんどない場合、後者は使用できません
 - アニメーション再生フレームが再生プログレスバーに再び表示されます。
 - Vala Goat 実行コードが生成され、コントロールできないため、この Vala プラグインの C 警告を無視します。
 - file-gihブラシパイプ選択モードに、変換可能な便利な名前が追加されました。
 - メタデータビューアーGtkTreeView から GtkListBox へポートします。
 - 未加工データのファイル2 列レイアウトに移動することで、未加工データのロードダイアログの高さを減らします。
 - SVG インポートPDB プロシージャを非対話型で他のプラグインから呼び出す場合、特定の幅/高さの引数でアスペクト数を破壊することが可能になりました。
 - 印刷印刷ポータルダイアログを通じて実行する際、画像設定が、メインの印刷ダイアログのタブではなく、ポータルダイアログの後に出力される、第 2 ダイアログとして公開されます画像設定は、メインの印刷ダイアログのタブではなく、セカンダリダイアログを使用して出力されます画像設定は、印刷ダイアログを微調整することができないため、はポータルによって作成されます)。これにより、サンドボックス (例:
 Flatpak または Snap。
 - 再構成YCbCr の分解された画像に対して修正されました。
 - 次の脆弱性を修正しました ZDI-CAN-27684、ZDI-CAN-27863、ZDI-CAN-27878、ZDI-CAN-27836、ZDI-CAN-27823、ZDI-CAN-27793。
 - C ソースと HTML のエクスポートが、非対話型で実行できるようになりました (他のプラグインからなど)。
 - Map Objectスピンボックスの欠如を修正します。
 - Small tiles表示遅延を修正します。

 - CVE-2025-10925GIMP ILBM ファイル解析のスタックベースのバッファオーバーフローのリモートコードの実行の脆弱性を修正します。ZDI-25-914、ZDI-CAN-27793、 bsc#1250501]

 - CVE-2025-10922GIMP DCM ファイル解析のヒープベースのバッファオーバーフローのリモートコード実行の脆弱性を修正。ZDI-25-911、ZDI-CAN-27863、 bsc#1250497]

 - CVE-2025-10920output >= max だけでなく、output >= max をチェックすることにより、オーバーフロー攻撃を防ぎます。 ZDI-25-909、ZDI-CAN-27684、 bsc#1250495]

 - CVE-2025-10924FF ファイル解析中の整数オーバーフローを修正します。bsc#1250499

 - CVE-2025-2760脆弱性により、リモートの攻撃者が、影響を受ける GIMP のインストールで任意のコードを実行できます。XWD ファイルの解析に、特定の欠陥が存在します。バッファを割り当てる前に、整数オーバーフローが発生します。これは GIMP で修正されました 3.0.0。
 https://www.gimp.org/news/2025/03/16/gimp-3-0-released(bsc#1241690)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1241690

https://bugzilla.suse.com/1250495

https://bugzilla.suse.com/1250497

https://bugzilla.suse.com/1250499

https://bugzilla.suse.com/1250501

https://www.suse.com/security/cve/CVE-2025-10920

https://www.suse.com/security/cve/CVE-2025-10922

https://www.suse.com/security/cve/CVE-2025-10924

https://www.suse.com/security/cve/CVE-2025-10925

https://www.suse.com/security/cve/CVE-2025-2760

プラグインの詳細

深刻度: High

ID: 291313

ファイル名: openSUSE-2026-20055-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2026/1/18

更新日: 2026/1/18

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-2760

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:gimp-extension-goat-excercises, p-cpe:/a:novell:opensuse:libgimp-3_0-0, p-cpe:/a:novell:opensuse:gimp-lang, p-cpe:/a:novell:opensuse:gimp, p-cpe:/a:novell:opensuse:gimp-plugin-aa, p-cpe:/a:novell:opensuse:gimp-vala, p-cpe:/a:novell:opensuse:gimp-plugin-python3, p-cpe:/a:novell:opensuse:gimp-devel, p-cpe:/a:novell:opensuse:libgimpui-3_0-0

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/1/16

脆弱性公開日: 2025/4/23

参照情報

CVE: CVE-2025-10920, CVE-2025-10922, CVE-2025-10924, CVE-2025-10925, CVE-2025-2760

IAVB: 2025-B-0092-S