openSUSE 16 セキュリティ更新go-sendxmppopenSUSE-SU-2026:20058-1]

medium Nessus プラグイン ID 291338

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティアップデートがありません。

説明

リモートのopenSUSE 16ホストには、openSUSE-SU-2026:20058-1 アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

go-sendxmpp の変更

- 0.15.1 への更新:
追加
* XEP-0359 Origin-ID をメッセージに追加しますgo-xmpp >= v0.2.18 が必要です。
変更済み
* HTTP アップロード一部のコンポーネントが応答しないため、disco IQ のタイムアウトを無視します。
- 埋め込まれている golang.org/x/net をにアップグレードします 0.46.0
* 修正 bsc#1251461、 CVE-2025-47911HTML ドキュメント解析時の二次複雑性のある様々なアルゴリズム
* 修正 bsc#1251677、 CVE-2025-58190特別に細工された入力を処理する際の「html.ParseFragment」による過剰なメモリ消費

- 0.15.0 への更新:
追加：
* デバッグ情報を表示するためにフラグ --verbose を追加します。
* ファイルで受信者を指定するためにフラグ --recipients を追加します。
* 接続が失敗した場合、待機時間の後に試行するためにフラグ --retry-connect を追加します。
* フラグ --retry-connect-max を追加し、再試行の回数を指定します。
* Ox キーで XEP-0027 PGP 暗号化を使用するためにフラグ --legacy-pgp を追加します。
* Punycode ドメインのサポートを追加します。
変更済み
* gopenpgp ライブラリを v3 に更新します。
* MUC 参加のエラー検知を改善します。
* エラーに「auth-failure」が含まれている場合は、他の SRV レコードターゲットへの接続を試行しません。
* 旧式の SSDP バージョンのサポートを削除しますgo-xmpp v0.2.15 を介して。
* Http-uploadアップロードコンポーネントを見つけた後に、他の disco アイテムのチェックを停止します。
* デフォルトの TLS バージョンをに増加します 1.3。
- bsc#1241814CVE-2025-22872] この更新には golang.org/x/net/html が含まれます 0.43.0

- 0.14.1 への更新:
* エラーメッセージに対してより適切な日付フォーマットを使用します。
* XEP-0474 をバージョン 0.4.0 に更新しますgo-xmpp >= 0.2.10が必要です。

- 0.14.0 への更新:
追加：
* FAST トークンの無効化を許可するために --fast-invalidate を追加します。
変更済み
* ~/.local/share/go-sendxmpp/oxprivkeys にレガシー Ox 秘密鍵ディレクトリを作成しません。
* レガシー Ox 秘密鍵ディレクトリが空の場合、削除します。
* 保存された FAST メカニズムが現在の TLS バージョンで使用できない場合に適切なエラーを表示しますgo-xmpp >= 0.2.9が必要です。
* デバッグ出力を stderr ではなく stdout に出力しますgo-xmpp >= 0.2.9が必要です。
* RECV: および SEND を表示デバッグ出力のプレフィックス go-xmpp >= 0.2.9が必要。
* --fast-invalidate および --fast-off が設定されている場合、保存された高速トークンを削除します。
* FAST 認証は保存されるが非 FAST 機構がリクエストされる際にエラーを表示します。

- 0.13.0 への更新:
追加：
* 匿名認証をサポートするために --anonymous を追加しますgo-xmpp >= 0.2.8が必要です。
* XEP-0480SASL アップグレードタスクのサポートgo-xmpp >= 0.2.8が必要を追加します。
* see-other-host ストリームエラーに対するサポートを追加しますgo-xmpp >= 0.2.8が必要です。
変更済み
* FAST 認証が失敗した場合、他の認証メカニズムを自動的に試行しません。

- 0.12.1 への更新:
変更済み
* タイプエラーのメッセージを受信した場合、終了する代わりにエラーを印刷します。
* 複数のファイルのアップロードを許可。
追加：
* go-sendxmpp が root ユーザーにより使用される際に警告を抑制するために --suppress-root-warning フラグを追加します。

- 0.12.0 への更新:
追加：
* hostmeta2 経由で直接 TLS 接続のエンドポイントを検索する可能性を追加します xmppsrv >= が必要です 0.3.3。
* PLAIN 認証を許可するためにフラグ --allow-plain を追加しますgo-xmpp >= 0.2.5が必要です。
変更済み
* デフォルトで PLAIN 認証を無効にします。
* SCRAM 認証メカニズムを初めて使用した後、PLAIN 認証を無効にしますオーバーライド --allow-plain、go-xmpp >= 0.2.5] が必要。

- 0.11.4 への更新:
* SCRAM-SHA-256-PLUS のバグを修正しますgo-xmpp >= 0.2.4を介して。

- 0.11.3 への更新:
* go-xmpp ライブラリのバージョンを --version 出力に追加しますgo-xmpp >= 0.2.2が必要です。
* XEP-0474SASL SCRAMダウングレード保護のハッシュ計算バグgo-xmpp >= v0.2.3経由を修正。
* [gocritic]コードの品質を改善します。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるgo-sendxmppパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1241814

https://bugzilla.suse.com/1251461

https://bugzilla.suse.com/1251677

https://www.suse.com/security/cve/CVE-2025-22872

https://www.suse.com/security/cve/CVE-2025-47911

https://www.suse.com/security/cve/CVE-2025-58190

プラグインの詳細

深刻度: Medium

ID: 291338

ファイル名: openSUSE-2026-20058-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2026/1/19

更新日: 2026/1/19

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus