リモートの SUSE Linux SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2026:0295-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    セキュリティの修正: 

    - CVE-2026-22036リソースの枯渇を引き起こす HTTP 応答の無限の展開チェーンを修正しましたbsc#1256848
    - CVE-2026-21637TLS エラー処理をバイパスし、サービス拒否を引き起こすコールバック中にスローされる同期例外を修正しましたbsc#1256576
    - CVE-2025-55132プロセスに読み取り権限だけがある場合でも、ファイルにアクセスする futimes() 機能を修正しましたbsc#1256571
    - CVE-2025-55131残りデータで割り当てを行うことで、プロセス内の秘密の漏洩を引き起こす可能性のある競合状態を修正しましたbsc#1256570
    - CVE-2025-55130細工されたシンボリックリンクを介するファイルシステム権限のバイパスを修正しましたbsc#1256569
    - CVE-2025-59465クラッシュを引き起こす無効な HPACK のある無効な形式の HTTP/2 HEADERS フレームを修正しましたbsc#1256573
    - CVE-2025-59466クラッシュを引き起こす制御できない「最大呼び出しスタックサイズを超えました」エラーを修正しましたbsc#1256574

    その他の修正:

    - 22.22.0 への更新:
      * depsundi を に更新しました 6.23.0
      * depsバンドルされている c-ares を に更新しました 1.34.6 使用する場合
      * TLSSocket デフォルトエラーハンドラーを追加します
      * 権限モデルが有効な場合は futime を無効にします
      * シンボリックリンク API に対する完全な読み取りと書き込みが必要です
      * async_hooks でスタックオーバーフローの例外を再度スローします
      * 安全でないバッファ作成をリファクタリングし、zero-fill トグルを削除します
      * エラーハンドラーを通じたルートコールバック例外

    - 22.21.1 への更新:
      * src不要な string -> char* -> string のラウンドトリップを回避します
      * srcUtf8Value および BufferValue における不要なシャドー化された関数を削除します
      * プロセスhrtime 高速呼び出し署名を修正します
      * httpfor-of ループを回避することで writeEarlyHints を向上

    - 22.21.0 への更新:
      * cliadd --use-env-proxy
      * httpNODE_USE_ENV_PROXY でのフェッチに対して http プロキシをサポートします
      * httpshouldUpgradeCallback を追加して、サーバーが HTTP アップグレードをコントロールできるようにします
      * http,httpshttp/https.request および Agent に内蔵型プロキシサポートを追加します
      * src% サポートを に追加します --max-old-space-size

    - 22.20.0 への更新
      * doc安定化 --disable-sigusr1
      * docpath.matchesGlob を安定版stableとしてマークします。
      * httpAgent.agentKeepAliveTimeoutBuffer オプションを追加します
      * http2h2Stream.respond() における生のヘッダー配列に対するサポートを追加します
      * inspecthttp2 追跡サポートを追加します
      * seaexecArgvExtension を実装します
      * sea sea 構成の execArgv をサポートします
      * streambrotli サポートを CompressionStream と DecompressionStream に追加します
      * test_runnerオブジェクトプロパティのモッキングをサポートします
      * workerworker 用の cpu プロファイル API を追加します

    - 22.19.0 への更新
      * cliNODE_USE_SYSTEM_CA=1 を追加
      * cliで ${pid} プレースホルダーをサポートします --cpu-prof-name
      * cryptotls.setDefaultCACertificates() を追加します
      * dns最大タイムアウトをサポートします
      * docリリースの検証方法に関する命令を更新します
      * esmunflag --experimental-wasm-modules
      * httpserver.keepAliveTimeoutBuffer オプションを追加します
      * libdocs deprecate _http_*
      * netファイルの保存とファイル管理を許可するために net.blocklist を更新します
      * processthreadCpuUsage を追加します
      * zlibzstdCompress および zstdDecompress に辞書サポートを追加します

    - 22.18.0 への更新:
      * depsamaro を に更新してください 1.1.0
      * docすべてのウォッチモード関連フラグを node.1 に追加します
      * docisdary をコラボレーターに追加します
      * esmimport.meta.main を実装します
      * fsAsyncIterator を持つ fs-events のバーストを適切に処理できるようにします
      * permissionspawn で権限モデルフラグを伝播
      * sqlitedb 接続レベルの readBigInts オプションに対するサポートを追加します
      * src、permissionpermission.has(addon) にサポートを追加します
      * urlfileURLToPathBuffer API を追加します
      * watch --watch-kill-signal フラグを追加します
      * workerWorker async を破棄可能にします

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

SUSE SLES15/openSUSE 15 セキュリティ更新: nodejs22 (SUSE-SU-2026:0295-1)

medium Nessus プラグイン ID 296677

バージョン 1.2