検出

SUSE SLES15/openSUSE 15 セキュリティ更新: nodejs22 (SUSE-SU-2026:0295-1)

medium Nessus プラグイン ID 296677

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2026:0295-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 セキュリティの修正:

- CVE-2026-22036リソースの枯渇を引き起こす HTTP 応答の無限の展開チェーンを修正しましたbsc#1256848
 - CVE-2026-21637TLS エラー処理をバイパスし、サービス拒否を引き起こすコールバック中にスローされる同期例外を修正しましたbsc#1256576
 - CVE-2025-55132プロセスに読み取り権限だけがある場合でも、ファイルにアクセスする futimes() 機能を修正しましたbsc#1256571
 - CVE-2025-55131残りデータで割り当てを行うことで、プロセス内の秘密の漏洩を引き起こす可能性のある競合状態を修正しましたbsc#1256570
 - CVE-2025-55130細工されたシンボリックリンクを介するファイルシステム権限のバイパスを修正しましたbsc#1256569
 - CVE-2025-59465クラッシュを引き起こす無効な HPACK のある無効な形式の HTTP/2 HEADERS フレームを修正しましたbsc#1256573
 - CVE-2025-59466クラッシュを引き起こす制御できない「最大呼び出しスタックサイズを超えました」エラーを修正しましたbsc#1256574

 その他の修正:

 - 22.22.0 への更新:
 * depsundi を に更新しました 6.23.0
 * depsバンドルされている c-ares を に更新しました 1.34.6 使用する場合
 * TLSSocket デフォルトエラーハンドラーを追加します
 * 権限モデルが有効な場合は futime を無効にします
 * シンボリックリンク API に対する完全な読み取りと書き込みが必要です
 * async_hooks でスタックオーバーフローの例外を再度スローします
 * 安全でないバッファ作成をリファクタリングし、zero-fill トグルを削除します
 * エラーハンドラーを通じたルートコールバック例外

 - 22.21.1 への更新:
 * src不要な string -> char* -> string のラウンドトリップを回避します
 * srcUtf8Value および BufferValue における不要なシャドー化された関数を削除します
 * プロセスhrtime 高速呼び出し署名を修正します
 * httpfor-of ループを回避することで writeEarlyHints を向上

 - 22.21.0 への更新:
 * cliadd --use-env-proxy
 * httpNODE_USE_ENV_PROXY でのフェッチに対して http プロキシをサポートします
 * httpshouldUpgradeCallback を追加して、サーバーが HTTP アップグレードをコントロールできるようにします
 * http,httpshttp/https.request および Agent に内蔵型プロキシサポートを追加します
 * src% サポートを に追加します --max-old-space-size

 - 22.20.0 への更新
 * doc安定化 --disable-sigusr1
 * docpath.matchesGlob を安定版stableとしてマークします。
 * httpAgent.agentKeepAliveTimeoutBuffer オプションを追加します
 * http2h2Stream.respond() における生のヘッダー配列に対するサポートを追加します
 * inspecthttp2 追跡サポートを追加します
 * seaexecArgvExtension を実装します
 * sea sea 構成の execArgv をサポートします
 * streambrotli サポートを CompressionStream と DecompressionStream に追加します
 * test_runnerオブジェクトプロパティのモッキングをサポートします
 * workerworker 用の cpu プロファイル API を追加します

 - 22.19.0 への更新
 * cliNODE_USE_SYSTEM_CA=1 を追加
 * cliで ${pid} プレースホルダーをサポートします --cpu-prof-name
 * cryptotls.setDefaultCACertificates() を追加します
 * dns最大タイムアウトをサポートします
 * docリリースの検証方法に関する命令を更新します
 * esmunflag --experimental-wasm-modules
 * httpserver.keepAliveTimeoutBuffer オプションを追加します
 * libdocs deprecate _http_*
 * netファイルの保存とファイル管理を許可するために net.blocklist を更新します
 * processthreadCpuUsage を追加します
 * zlibzstdCompress および zstdDecompress に辞書サポートを追加します

 - 22.18.0 への更新:
 * depsamaro を に更新してください 1.1.0
 * docすべてのウォッチモード関連フラグを node.1 に追加します
 * docisdary をコラボレーターに追加します
 * esmimport.meta.main を実装します
 * fsAsyncIterator を持つ fs-events のバーストを適切に処理できるようにします
 * permissionspawn で権限モデルフラグを伝播
 * sqlitedb 接続レベルの readBigInts オプションに対するサポートを追加します
 * src、permissionpermission.has(addon) にサポートを追加します
 * urlfileURLToPathBuffer API を追加します
 * watch --watch-kill-signal フラグを追加します
 * workerWorker async を破棄可能にします

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1256569

https://bugzilla.suse.com/1256570

https://bugzilla.suse.com/1256571

https://bugzilla.suse.com/1256573

https://bugzilla.suse.com/1256574

https://bugzilla.suse.com/1256576

https://bugzilla.suse.com/1256848

http://www.nessus.org/u?8387ec3f

https://www.suse.com/security/cve/CVE-2025-55130

https://www.suse.com/security/cve/CVE-2025-55131

https://www.suse.com/security/cve/CVE-2025-55132

https://www.suse.com/security/cve/CVE-2025-59465

https://www.suse.com/security/cve/CVE-2025-59466

https://www.suse.com/security/cve/CVE-2026-21637

https://www.suse.com/security/cve/CVE-2026-22036

プラグインの詳細

深刻度: Medium

ID: 296677

ファイル名: suse_SU-2026-0295-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2026/1/27

更新日: 2026/1/27

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: Low

基本値: 2.1

現状値: 1.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2025-55132

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2026-22036

CVSS v4

リスクファクター: Medium

Base Score: 4.8

Threat Score: 1.1

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

脆弱性情報

CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:nodejs22, p-cpe:/a:novell:suse_linux:nodejs22-devel, p-cpe:/a:novell:suse_linux:nodejs22-docs, p-cpe:/a:novell:suse_linux:npm22

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/1/26

脆弱性公開日: 2026/1/13

参照情報

CVE: CVE-2025-55130, CVE-2025-55131, CVE-2025-55132, CVE-2025-59465, CVE-2025-59466, CVE-2026-21637, CVE-2026-22036

SuSE: SUSE-SU-2026:0295-1