リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:0296-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    バージョン 1.24.12 に更新してください (2026 年 1 月 15 日リリース) (jsc#SLE-18320, bsc#1236217):

    セキュリティの修正: 

     - CVE-2025-47912: net/url: 括弧付き IPv6 ホスト名の検証が不十分 (bsc#1251257)。
     - CVE-2025-58183: archive/tar: GNU スパースマップを解析する際の無制限割り当て (bsc#1251261)。
     - CVE-2025-58185: encoding/asn1: DER ペイロードを解析する際にメモリを事前に割り当てると、メモリを枯渇させる可能性があります (bsc#1251258)。
     - CVE-2025-58186: net/http: Cookie を解析する際の制限がないため、メモリを枯渇させる可能性があります (bsc#1251259)。
     - CVE-2025-58187: crypto/x509: 名前制約のチェックにおけるの二次的な複雑性 (bsc#1251254)。
     - CVE-2025-58188: crypto/x509: DSA 公開鍵で証明書を検証する際のパニック (bsc#1251260)。
     - CVE-2025-58189: crypto/tls: 攻撃者が制御する情報を含む ALPN ネゴシエーションエラー (bsc#1251255)。
     - CVE-2025-61723: encoding/pem: 一部の無効な入力を解析する際の二次的な複雑性 (bsc#1251256)。
     - CVE-2025-61724: net/textproto: Reader.ReadResponse の過剰な CPU 消費 (bsc#1251262)。
     - CVE-2025-61725: net/mail: ParseAddress の過剰な CPU 消費 (bsc#1251253)。
     - CVE-2025-61726: net/http: Request.ParseForm におけるメモリ枯渇 (bsc#1256817)。
     - CVE-2025-61727: crypto/x509: 除外されたサブドメイン制約は、ワイルドカード SAN を除外しません (bsc#1254430)。
     - CVE-2025-61728: archive/zip: 任意の ZIP アーカイブを解析する際のサービス拒否 (bsc#1256816)。
     - CVE-2025-61729: crypto/x509: ホスト証明書検証用のエラー文字列の出力での過剰なリソース消費 (bsc#1254431)。
     - CVE-2025-61730: crypto/tls: ハンドシェイクメッセージが不適切な暗号化レベルで処理される可能性があります (bsc#1256821)。
     - CVE-2025-61731: cmd/go: フラグサニタイズのバイパスにより、任意のコードが実行される可能性があります (bsc#1256819)。
     - CVE-2025-68119: cmd/go: ツールチェーンを呼び出す際の予期しないコードの実行 (bsc#1256820)。
     - CVE-2025-68121: crypto/tls: Config.Clone は自動的に生成されたセッションチケットキーをコピーし、セッション再開に完全な証明書チェーンの有効期限は考慮されません (bsc#1256818)。

    その他の修正:

      * go#74818 net: WriteMsgUDPAddrPort は、IPv4 UDP ソケット上の IPv4 にマッピングされた IPv6 宛先アドレスを受け入れます
      * go#74821 cmd/go: 「get toolchain@latest」は、リリース候補を無視します
      * go#75007 os/exec: TestLookPath が CL 685755 後の plan9 で失敗します
      * go#75138 os: Root.OpenRoot が不適切な名前を設定し、元のルートのプレフィックスが失われています
      * go#75220 debug/pe: llvm-mingw 21 によって作成されたオブジェクトファイルで pe.Open が失敗します
      * go#75351 cmd/link: 空のコンテナシンボルのため、CGO が有効になっている riscv64 でのパニックが発生します
      * go#75356 net: 新しいテスト TestIPv4WriteMsgUDPAddrPortTargetAddrIPVersion が plan9 で失敗します
      * go#75359 os: 新しいテスト TestOpenFileCreateExclDanglingSymlink が Plan 9 で失敗します
      * go#75523 crypto/internal/fips140/rsa: セルフテストが失敗した場合、パニックが必要です
      * go#75538 net/http: 内部エラー: connCount アンダーフロー
      * go#75594 cmd/compile: github.com/leodido/go-urn 上の GOEXPERIMENT=cgocheck2 にある内部コンパイラエラー
      * go#75609 sync/atomic: Uintptr.Or のコメントが不適切な戻り値を説明しています
      * go#75831net/url: ipv4 にマッピングされた ipv6 アドレスは、角括弧内で有効である必要があります
      * go#75860 crypto/x509: 末尾のドットにより FQDN で TLS 検証が失敗します
      * go#75951 encoding/pem: 先頭のガベージがあるブロックをデコードする際の回帰
      * go#76028 pem/encoding: 無効な形式の行末がパニックを引き起こす可能性があります
      * go#76378 internal/cpu: loong64 での不適切な CPU 機能ビット解析により、LA364 コアで不正な命令コアダンプが発生します
      * go#76408 crypto/tls: ECH が有効な場合、earlyTrafficSecret は ClientHelloInner を使用します
      * go#76624 os: Unix で、Readdirnames がゼロ inode のディレクトリエントリをスキップします
      * go#76760 runtime: Go 1.25.4 Windows 386 での os/signal における不適切なでのスタック分割
      * go#76796 runtime: ppc64le の競合検出器クラッシュ
      * go#76966 cmd/compile/internal/ssa: Compile.func1(): <function> のコンパイル中の sccp パニック: ランタイムエラー: 範囲外のインデックス

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

SUSE SLES15 セキュリティ更新: go1.24-openssl (SUSE-SU-2026:0296-1)

critical Nessus プラグイン ID 296679

バージョン 1.4

バージョン 1.3

バージョン 1.2

バージョン 1.1

バージョン 1.4 Feb 12, 2026, 7:05 AM CVSS metrics ("CVSSv2 score" set to 10.0) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C") CVSS metrics ("CVSSv3 score" set to 10.0) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H") CVSSv2 score source (changed from "CVE-2025-47912" to "CVE-2025-68121") CVSSv3 score source (changed from "CVE-2025-61731" to none) Plugin Feed: 202602120705
バージョン 1.3 Feb 9, 2026, 4:07 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202602091607
バージョン 1.2 Feb 3, 2026, 2:33 PM CVSS metrics ("CVSSv3 score" set to 7.8) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H") CVSSv3 score source (changed from "CVE-2025-61727" to "CVE-2025-61731") CVSSv3 severity (based on CVE-2025-61731, severity increased from "Medium" to "High") Plugin Feed: 202602031433
バージョン 1.1 Jan 27, 2026, 3:45 PM New Plugin Feed: 202601271545