検出

SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新log4jSUSE-SU-2026:0254-1

medium Nessus プラグイン ID 296436

Language:

概要

リモートの SUSE ホストにセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2026:0254-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 セキュリティの修正:

- CVE-2025-68161中間者攻撃を引き起こす可能性がある TLS ホスト名検証の欠如を修正しましたbsc#1255427

 その他の修正:

 - 2.18.0 にアップグレードします
 * 追加
 - SMTP アダーで Jakarta Mail API のサポートを追加します。
 - カスタム Log4j 1.x レベルのサポートを追加します。
 - Log4j 1.x ブリッジでアペンダーの追加および取得のサポートを追加します。
 - カスタム LMAX disruptor WaitStrategy 構成に対するサポートを追加します。
 - Log4j 1.x ブリッジの Apache Extras の RollingFileAppender のサポートを追加します。
 - MutableThreadContextMapFilter を追加します。
 - ハイライトでの 24 色へのサポートを追加します
 * 変更済み
 - サーブレットコンテナの ServiceLoader サポートを改善します。
 - Async Loggers が使用するデフォルトの disruptor WaitStrategy をガベージ解放します。
 - JUL ApiLogger::setLevel が呼び出される際に UnsupportedOperationException をスローしません。
 - Spring をサポートします 2.6.x
 - perf テストを log4j-core-its に移動します
 - Flume Appender を Flume にアップグレードしてください 1.10.0
 * 修正済み
 - マイナーな入力ミスを修正します #792
 - 構成エラーの検証と報告を改善します。
 - enterprise id を OID フラグメントにすることを許可します。
 - 非大文字のカスタムレベルの問題を修正します。
 - カスタム LoggerContextFactory のある JeroMqManager での ClassCastException を回避します #791。
 - DirectWriteRolloverStrategy は、ファイルの作成時に現在の時間を使用する必要があります。
 - カスタムレイアウトで使用される場合、Log4j 1.x ブリッジの syslog アペンダーを修正します。
 - log4j-1.2-api 2.17.2 は、null としての名前を持つ appender を削除する際に、NullPointerException をスローします。
 - JsonTemplateLayout のパフォーマンスを改善します。
 - 非 Log4j プロパティの解決を修正します。
 - マルチアプリケーション環境での Spring Boot ロギングシステム登録を修正します。
 + Log4j 構成を含む JAR ファイルは閉じられません。
 + 要素ではなく値属性を使用する構成で定義されたプロパティが正しく読み込まれます。
 + Syslog アダーに SocketOptions 設定がありません。
 + Log4j 1.2 ブリッジは不必要にコンポーネントをラップすべきではありません。
 + サードパーティの依存関係を更新 2.18.0。
 + SizeBasedTriggingPolicy は、整数パターンに先行するゼロが含まれる場合、ファイル名を適切に変更できない可能性があります。
 + カスタムキーストアが使用される際のデフォルトの SslConfiguration を修正します。
 + Log4j 1.x ブリッジにあるアペンダーの並行性問題を修正します。
 + FileUtils.mkdir() の競合状態を修正し、テストします。
 + LocalizedMessage がコンソールに誤解を招くエラーをログに記録します。
 + RegexFilter で欠如しているメッセージのパラメーター化を追加します。
 + 不足しているコンテキストスタックを JsonLayout テンプレートに追加します。
 + HttpWatcher は、ポーリング時に認証情報を渡しませんでした。
 + UrlConnectionFactory.createConnection は現在、AuthorizationProvider をパラメーターとして受け入れます。
 + DirectWriteRolloverStrategy が起動時に使用する適切なインデックスを検出していませんでした。
 + Async ロガーに、デフォルトで場所情報が含まれていました。
 + ClassArbiters newBuilder メソッドが間違ったクラスを参照していました。
 + 循環ファイルシステムを回避するために Paths.get() を使用しません。
 + XInclude が無効のときの解析エラーを修正します。
 + log4j1s の動作に合わせて LevelRangeFilterBuilder を修正。
 + 明瞭な色に対する間違った ANSI エスケープコードの問題を修正 + Log4j 1.2 ブリッジは、パラメーターランタイムタイプに基づいて Log4j 2.x メッセージを生成する必要があります。
 - 2.19.0 への更新
 * を追加しました + SLF4J2 Fluent API の実装を追加します。
 + SLF4J2 stack-valued MDC のサポートを追加します。
 * 変更済み + getExplicitLevel メソッドを LoggerConfig に追加します。
 + PropertySources の追加を許可します。
 + プラグインが LoggerContext 参照で注入されることを許可します。
 * が修正されました + OSGi に対する適切なマニフェストエントリを log4j-jcl に追加します + パスワードのないキーストアのサポートを改善します。
 + SystemPropertyArbiter は、名前として値を割り当てていました。
 + JsonTemplateLayout スタックトレース切り捨てが各ラベルブロックで動作するようにします。
 + Log4j 1.2 LogManager と カテゴリの間の再帰を修正します。
 + log4j2. で開始しないプロパティの解決を修正します。
 + Logger$PrivateConfig.filterLevel, Marker, Stringは空の varargs 配列を割り当てていました。
 + %highlight との一貫性のために、%style パターンでスタイル指定子のスペース区切りのリストを許可します。
 + root ロガーレベルが null の場合の、log4j-to-jul の NPE を修正。
 + DirectWriteRolloverStrategy を持つ RollingRandomAccessFileAppender が、異なるディレクトリの最初のログファイルを作成できないことを修正します。
 + テスト用の新しい SSL 証明書を生成します
 + SecurityManager が存在する際の ServiceLoaderUtil の動作を修正します。
 + Rfc5424Layout のデフォルト値での回帰を修正します。
 + InstantFormatter を委任の失敗に対して強化します。
 + Log4jServletFilter に非同期サポートを追加します。
 * が削除されました + ビルドページが削除され、単一のビルド手順ファイルになりました。
 + SLF4J 1.8.x バインディングを削除します。
 - 2.20.0 への更新
 * を追加 + RollingFileAppender の日付パターンのタイムゾーンに対するサポートを追加 + LogEvent タイムスタンプを KafkaAppender の ProducerRecord に追加 + 2 つの右端を除くすべてのロガーコンポーネントの名前を省略するために PatternLayout サポートを追加 + パブリック API に漏洩する内部フィールドを削除。
 + Logger#traceEntry メソッドをエミュレートするために LogBuilder#logAndGet() メソッドを追加します。
 * 変更済み + サイト生成を簡素化 + 問題追跡者を JIRA から GitHub 問題へ切り替える + liquibase-log4j2 maven モジュールを削除 + ThrowableProxyHelper でキャッシュミスを引き起こすスタックトレース要素の順序を修正。
 + com.sun.mail から Eclipse Angus に切り替えます。
 + Log4j2 Core を SLF4J2-to-Log4j2 API ブリッジのデフォルトランタイム依存関係として追加します。
 + maven-changes-plugin をカスタム変更ログ実装で置き換える + 分類子テストを持つ log4j-api および log4j-core のアーチファクトを、それぞれ log4j-api-test および log4j-core-test へ移動しました。
 * 廃止 + プラグインのパッケージスキャンのサポートを廃止
 * 修正済み + includeLocation='false' の場合でも、プログラムで提供された場所をコピーする。
 + disableAnsi または noConsoleNoAnsi がスタイルおよびハイライトパターンを使用するとき、ステータスロガーの警告を排除します。
 + RewriteAppender のロケーション要件の検出を修正します。
 + 正規表現をマニュアルコードで置き換え、 Rfc5424Layout で文字をエスケープします。
 + MapMessage の java.sql.Time オブジェクトフォーマットを修正 + CronTriggingPolicy での以前のファイアタイム計算を修正 + AsyncRootLoggers の場所を含まないようにデフォルトを修正 + StatusConsoleListener が内部で SimpleLogger を使用するようにします。
 + SLF4J LogEventBuilder のレベルをゆっくりと評価します + レガシーシステムプロパティの優先度を修正します。これは現在、環境変数より高い優先度に戻りました。
 + 未チェックの ServiceLoader 例外から ServiceLoaderUtil を保護します。
 + 内部クラスの Configurator#setLevel を修正 + Log4jBridgeHandler でのレベル伝播を修正 + OSGI コンテナで実行しない場合は、OsgiServiceLocator を無効にします。
 + ファイルパターンで日付検索を使用する場合、現在の時間を使用する必要があります。
 + グローバルフィルターが存在する際の LogBuilder フィルターを修正しました。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける log4j、log4j-javadoc、log4j-jcl、log4j-slf4j パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1255427

http://www.nessus.org/u?dadb3a7b

https://www.suse.com/security/cve/CVE-2025-68161

プラグインの詳細

深刻度: Medium

ID: 296436

ファイル名: suse_SU-2026-0254-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2026/1/24

更新日: 2026/1/24

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.0

CVSS v2

リスクファクター: Medium

基本値: 4

現状値: 3.1

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2025-68161

CVSS v3

リスクファクター: Medium

基本値: 4.8

現状値: 4.3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.3

Threat Score: 2.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:L/SA:N

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:log4j-jcl, p-cpe:/a:novell:suse_linux:log4j-slf4j, p-cpe:/a:novell:suse_linux:log4j-javadoc, p-cpe:/a:novell:suse_linux:log4j, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/1/22

脆弱性公開日: 2025/12/18

参照情報

CVE: CVE-2025-68161

SuSE: SUSE-SU-2026:0254-1