検出

SUSE SLES15 セキュリティ更新cargo-audtableSUSE-SU-2026:0514-1]

medium Nessus プラグイン ID 299047

Language:

概要

リモートの SUSE ホストにセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:0514-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 バージョン 0.7.2~0 への更新。

 セキュリティの問題を修正:

 - CVE-2026-25727RFC 2822 日付パーサーによるユーザー提供入力の解析により、スタック枯渇が引き起こされる可能性がありますbsc#1257906。

 その他の更新およびバグ修正:

 - バージョン 0.7.2~0 に更新してください

 * README の中の Cargo-dist に言及
 * Cargo.lock をコミット
 * dev-dependency を に更新します 8.0.0
 * オブジェクトを へ更新 0.37
 * Cargo_metadata を にアップグレードします 0.23
 * 構成で dist プラットフォームのセットを展開します

 - バージョン 0.7.1~0 に更新してください

 * 役に立たない clippy lint から外れます
 * Satisfy clippy
 * --crate-name および --out-dir がrustc コマンドに存在すると想定しませんが、存在しない場合は警告を表示します。
 * パッケージのインストールを試みる前に apt-get 更新を実行
 * dist で「cargo dist init」を実行します 0.30
 * allow-dirty を dist 構成からドロップします。現時点では必要のないはずです
 * README のパラグラフを並べ替える
 * go 抽出ライブラリの移行メンテナンスに注記
 * 採用者スキャナーの編集パス
 * Docker サポートを明確にします
 * Cargo clippy 修正
 * Wolfi OS と Chainguard を採用者に追加します
 * Anchore ツールに関する言及を更新
 * README およびドキュメントがナイトリーで更新されます
 * Rust-audit-info の依存関係バージョンを更新します
 * doc に関する追加の作業
 * フォーマットリビジョンドキュメントのフォーマッティングを改善
 * バージョンを更新します
 * JSON スキーマを再生成
 * Cargo fmt
 * ドキュメント形式フィールド
 * RawVersionInfo がプライベートであることをより明確にします
 * シリアル化されたデータに書式フィールドを追加します
 * カーネルの clippy の修正
 * proc マクロに対する特別な処理を追加し、ビルド依存関係として扱います
 * proc マクロがビルド依存関係としてレポートされるようにするためのテストを追加します
 * proc マクロ依存関係のある crate に対するテスト修正を追加します
 * SBOM からの完全修飾パッケージ ID 仕様を解析
 * 最初に検出された SBOM ファイルを選択
 * カーネル sbom 統合
 * GHSA コールアウトによって人々のスキャナーを誤解させるために、テストコードで保守されていない wee_alloc を取り除きます
 * 手動で変更された release.yml により計画ワークフローが失敗しないようにします
 * release.yml ワークフローを修正するために、Ubuntu のバージョンを更新
 * ストリップされたバイナリのテストを追加します
 - バージョンを 0.6.7 に更新します
 * 変更ログを入力します
 * README.mdauditable2cdx を追加し、テキストの一貫性を向上
 * Plate clipy
 * 素のリンカーが使用されている場合は -Wl を出力しません
 * コンパイラ警告を取り除きます
 * ベアリンカー検出機能を追加します
 * もはや関連性のなくなったテストからのヘッダーをドロップ
 * Rustc codegen オプションを復元するためにサポートを追加します
 * Rustc 引数のより寛大な解析
 * Rustc が突然終了した場合のエラーメッセージの内容をより明確にします
 * Rustfmt に適合するようにフォーマットを変更
 * カーネルが kill された場合のエラーメッセージの説明を追加しました
 * REPLACING_CARGO.md を更新し、 を修正します #195
 * README の中の osv-scanner サポートを明確にします
 * メタデータを表示するために必要なコマンドを含めます
 * wam-tools サポートに言及
 * 破損した汎用キャッシュアクションから Rust 固有のものに切り替えます
 * auditable2cdx Cargo.toml のさまざまなフィールドに入力
 * 注意付きで osv-scanner をリストに含めます
 * README に対する blint repo へのリンクを追加
 * blint が弊社データをサポートしていることを言及
 * ターゲットの定義を統合
 * WASM テストの依存関係の変更を考慮し、それをやめるように Cargo.lock をコミット。
 * 管理されたツールチェーンアクションへの移行
 * Writer 仕様を修正
 * リポジトリへのリンクをリゾルバー Cargo.toml に追加します
 * リゾルバーを へ更新 0.1.0
 * リゾルバークレートをツリーへ追加します

 - バージョン 0.6.6~0 に更新してください

 * 変更ログの「object」アップグレードに注意してください
 * auditable-cyclendx で circonedx-bom を 0.5 から 0.8 にアップグレードします
 * オブジェクトクレートを 0.30 から 0.36 へアップグレードし、依存関係フットプリントを削減します
 * ロックファイルの依存関係を更新
 * 変更ログを入力します
 * clippy lint を適用
 * 別の --emit 解析テストを追加します
 *カーネル fmt のある短いコード
 * Cargo-c 互換性を実際に修正します
 * Cargo-capi の非互換性を修正しようとします
 * 修正の準備におけるリファクタリング
 * Rustc に --emit フラグも読み込みます
 * 変更ログへの入力
 * バージョンを更新します
 * cfg'd アウトテストをドロップします
 * 使われなくなった doc 行をドロップ
 * 依存関係サイクルテストを auditable-serde からsoary - auditable crate に移動します
 * audio_metadata を auditable-serde API サーフェスから削除します。
 * clippy lint を適用します
 * miniz_oxide を にアップグレード 0.8.0
 * semver を miniz_oxide semver から隔離します
 * Rust 2024 Edition のサポートを追加します
 * テストを更新します
 * riscv 機能検出でより堅牢な OS 検出
 * バージョンを更新
 * auditable-extract の変更ログを更新 0.3.5
 * wam コンポーネントの監査可能なデータ抽出を修正
 * README.md のブロッカーの説明を更新します
 * openSUSE を採用者に追加
 * 既知の採用企業リストを更新
 * 「riscv64-linux-android」ターゲット機能の検出を修正します
 * noisy lint をサイレントで攻撃
 * Rust-audit-info のバージョン要件を更新します
 * 変更ログへの入力
 * auditable-info の semver を更新します
 * wam がデフォルトで有効化された現在では廃番なコメントをドロップします
 *kerso-lock の依存関係を取り除きます
 * README での採用について分析します
 * 「cargo install」などと一貫性を持たせるために、kergo-dist ビルドには LTO を使用しません
 * musl バイナリもビルドします
 * dist将来のリリースのために dist 構成を更新します
 * dist(cargo-audtable)現時点では、auditable2cdx を無視
 * chorokergo-dist を追加します

 - バージョン 0.6.4~0 に更新してください

 * Cargo-auditable v0.6.4 をリリース
 * 変更ログにおける変更ログファイルの追加を適切に属性化
 * auditable-extract に対して変更ログを追加します
 * CI のさまざまな機能の組み合わせを検証します
 * wamparser をアップグレードし、「unsafe」で依存関係を削除します
 * LoongArch サポートを追加します
 * Cargo fmt
 * doc ヘッダーを README.md に移動し、rustdoc を向けさせます。これにより、よい crates.io ページが得られます
 * WebAssembly の解析に関する注記を展開します
 * 変更ログを入力します
 * 現在は、以下の警告があるため、すべての依存関係が安全であることを公表することを再開します
 * fuzz Cargo.lock をドロップし、常に最新バージョンに対して fuzz します
 * 「cargo auditable」バージョンを更新します
 * README に WASM サポートに言及
 *「MinGW と MSVC の両方が CI でテストされるように抑えます」を取り消します
 * MinGW と MSVC の両方が CI でテストされるように、余分に重複するようにします
 * より多くのプラットフォームのために wam32 ターゲットを CI に追加します
 * テストで --target を2 度渡しません
 * CI に WASM ツールチェーンをインストール
 * Cargo fmt
 * WASM エンドツーエンドのテストを追加します
 * Cargo fmt
 * WASM 機能を言及するためにドキュメントを更新
 * Cargo fmt
 * スタック全体を通じた Plumb WASM 解析機能
 * WASM 解析をデフォルトではないオプションにする
 * WASM 解析用に fuzzing harness を追加します
 * ヒープの割り当てを回避するために WASM 解析を書き直す
 * 初期 WASM 抽出サポート
 * より適切なアサーション
 * 廃番になったコメントをドロップします
 * コンパイラバージョンを埋め込んで出荷されたことを明確にします。
 * WASM のセクション名を修正
 * 統合され、より堅牢なプラットフォーム検出。wam ビルドプロセスを修正済み
 * 初期 WASM サポート
 * バイナリ形式を選択するためのより堅牢なプラットフォーム検出
 * -msvc と -gnu の両方を実行するように Windows CI を修正します
 * 使用されていない場合でも、指定されたシンボルを保持するために、正しい link.exe フラグを使用します
 * Windows の修正
 * Rust のテストを修正します 1.77
 * Plate clipy
 * Oops コンポーネントフィールドを意味しました
 * 空の場合は依存関係フィールドも削除します
 * 回避策の後で、より圧縮可能な JSON を取得するために、順序保存機能付きの serde_json を使用する
 * cyclenedx-bom の制限を回避して、最小化された JSON を生成します
 * 依存関係の種類も記録します
 * cyclendx-bomPURL も記録します
 * 依存関係ツリーも書き込みます
 * 最小の CycloneDX バリアントのシリアル番号を消去します
 * auditable2cdx のプロトタイプ impl
 * auditable2cdx の依存関係を入力します
 * 初期 auditable2cdx ボイスラープレース
 * #![forbid(unsafe_code)] を追加します
 * auditable-to-cyclendx 変換の最初の実装
 * auditable-cyclendx に必要な依存関係を追加します
 * auditable-cyclendx 用の最初のダミーパッケージ

 - バージョン 0.6.2~0 に更新してください

 * ロックファイルを更新
 * Cargo-audible および auditable-serde の新規リリース
 * カスタムrustcパスのテストに対して別のプロジェクトを使用します。競合状態による断続的なテスト失敗を修正します
 * 「git ソースにコミットハッシュを追加」を元に戻します
 * エンコードされている循環依存関係グラフを修正
 *「dev-dependencies によって引き起こされたサイクル修正の試行に失敗しました」を取り消します
 * dev-dependencies により引き起こされるサイクル修正の試行の失敗
 * 誤字を修正します
 * コメントの追加
 * で報告されている循環依存関係のある問題のテストを追加します https://github.com/rustsec/rustsec/issues/1043* auditable-serde 例が構築されていないのを修正します
 * 依存関係 miniz_oxide を へアップグレード 0.6.0
 * フォーマットエラーを修正します
 * に clippy lint を適用します --all-features
 * 内部ドキュメントとコメントを改善します
 * clippy lint を適用
 * テスト修正の 1 つに不足しているソースを追加します
 * git ソースにコミットハッシュを追加します
 * CI ですべてのテストを実行します
 * Cargo fmt
 * 古いバイナリを排除するためにテストで「cargo clean」を実行
 * 変更ログの日付を修正
 * 変更ログを入力します
 * Rust-audit-info の auditable-info のバージョンを更新します
 * auditable-info 変更ログを追加します
 * Cargo-lock の更新に続いてバージョンを更新します
 * auditable-serde「cargo-lock」を v9 に更新します
 * UNRELEAED に切り替える
 * CHANGELOG.md を更新します
 * Rustc の呼び出しが失敗した場合に、より良いエラーを出力する
 * 未使用のインポートをドロップ
 * CLIpy を配置します
 * --print 引数がrustcに渡される場合は監査情報を注入しません
 * Cargo.lock のバージョン変更を反映
 * キーワードから空白を削除します
 * バージョンを へ更新 0.6.1
 * 変更ログの日付を修正
 * CHANGELOG.md を更新します
 * 追加 publish=false
 * 生成された man ページをコミットする
 * man ページを生成するためのコードを追加します。これはまだ初期段階ですが、これは起動ポイントです。
 * サプライチェーン攻撃に関連する説明
 * Cargo マニフェストにキーワードを追加します
 * 「cargo auditable に対して man ページを生成」を戻します
 * フォーマットの修正
 * レビューフィードバックを修正し、ファイルを OUT_DIR の下に移動させ、方法を使用せず、ロックファイルもコミットします
 * カーネル監査用の man ページを生成します
 * clippy 抑制を追加します
 *place clippy
 * Cargo.lock をコミット
 * Rustc からコードを書き込んでいる最新のオブジェクトファイルに同期します
 * doc の中の例が修正されます
 * 冗長なフィールド名を許可します
 * clippy の提案を適用しますmatch -> iflet
 * CI の clippy とフォーマットをチェックします
 * clippy の提案を適用します
 * で CI を実行 --locked

 - バージョン 0.6.0~0 に更新してください

 * README およびドキュメントの改善
 * Cargo によって渡されるrustc パスを読み取ります。を修正 #90
 * サードパーティサブコマンドに設定された環境変数 Cargo から Cargo の場所を読み取る
 * CHANGELOG.md に sccache バージョン互換性に関する注記を追加します
 * エラーをサイレントに無視する代わりに、引数の解析に失敗するコンパイルコマンドのパニック
 * バイナリスキャン機能の指定は不要になりました
 * --offline などのオプションを「cargo metadata」に渡します
 * 「cargo auditable」呼び出しからrustcラッパーに引数を渡しますを修正するための作業を準備する #83
 * Rust-audit-info を へ更新します 0.5.2
 * auditable-serde バージョンを へ更新 0.5.2
 * カーネルデータフォーマットに変換する際は、依存関係エントリでもソースを正しく入力
 * semver::Version の str を通じてラウンドトリップをドロップします
 * リリース auditable-info 0.6.1
 * auditable-info に依存するものに対する、すべてのバージョン要件を更新します
 * audit_info_from_slice 関数署名を修正します

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるcargo-auditableパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1257906

http://www.nessus.org/u?11d08636

https://www.suse.com/security/cve/CVE-2026-25727

プラグインの詳細

深刻度: Medium

ID: 299047

ファイル名: suse_SU-2026-0514-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2026/2/14

更新日: 2026/2/14

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2026-25727

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.8

Threat Score: 3.3

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:A/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:cargo-auditable, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/2/13

脆弱性公開日: 2026/2/5

参照情報

CVE: CVE-2026-25727

SuSE: SUSE-SU-2026:0514-1