検出

openSUSE 16 セキュリティ更新go1.26openSUSE-SU-2026:20342-1

low Nessus プラグイン ID 302094

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20342-1 アドバイザリで言及されています。

 go1.26 での変更

 go1.26.12026 年 3 月 5 日リリースには、crypto/x509、html/template、net/url、os パッケージへのセキュリティ修正と、go コマンド、go fix コマンド、コンパイラ、および os および を反映するパッケージ。 boo#1255111

 CVE-2026-25679 CVE-2026-27142 CVE-2026-27137 CVE-2026-27138 CVE-2026-27139

 * go#77970 go#77578 boo#1259264 セキュリティ CVE-2026-25679 net/url を修正ホストの起動時に IPv6 リテラルを拒否
 * go#77972 go#77954 boo#1259265 セキュリティ修正 CVE-2026-27142 html/templateメタコンテンツ属性アクションの URL がエスケープされません
 * go#77973 go#77952 boo#1259266 セキュリティ CVE-2026-27137 crypto/x509 を修正メール制約の不適切な実施
 * go#77974 go#77953 boo#1259267 セキュリティ修正 CVE-2026-27138 crypto/x509無効な形式の証明書に対する名前制約チェックでのパニック
 * go#77834 go#77827 boo#1259268 セキュリティ修正 CVE-2026-27139 osFileInfo は root からエスケープできます

 * go#77252 cmd/compileグローバル配列初期化のミスコンパイル
 * go#77407 osWindows の RemoveAll における Go 1.25.x 回帰
 * go#77474 cmd/gopkg-config の --define-variable フラグが原因で、Go 1.25.5 から 1.25.6 にアップグレードした後に、CGO コンパイルが失敗します
 * go#77529 cmd/fix、x/tools/go/analysis/passes/ modernizestringscutindexArgValid の buf.Bytes() 呼び出しの分析での OOB パニック
 * go#77532 net/smtpテスト用の localhostCert の有効期限が短すぎます
 * go#77536 cmd/compile内部コンパイラエラー「main.func1」低くされていませんv15、STRUCT PTR SSA をロードします
 * go#77618 文字列HasSuffix は go におけるマルチバイト実行に対して正しく動作しません 1.26
 * go#77623 cmd/compile での内部コンパイラエラージェネリック関数およびタイプ >= 192 バイトですでに解放されているレジスタを解放しようとしました
 * go#77624 cmd/fix、x/tools/go/analysis/passes/ modernize2 つの文字列を組み合わせると、stringsbuilder がコードをブレークします。Builders
 * go#77680 cmd/linkTestFlagW/-w_-linkmode=external illumos で失敗します
 * go#77766 cmd/fix,x/tools/go/analysis/passes/ modernizerangeint が範囲式でターゲットプラットフォームのタイプを使用し、他のプラットフォームを破損させます
 * go#77780 notifyreflect.Value.Interface の動作の破壊的な変更
 * go#77786 cmd/compilerewriteFixedLoad が拡張 AuxInt を適切に署名しません
 * go#77803 cmd/fix,x/tools/go/analysis/passes/ modernizerefle.TypeOf(nil) が Reflection.TypeFor[untyped nil]() に変換されます
 * go#77804 cmd/fix,x/tools/go/analysis/passes/ modernizeminmax が select ステートメントを破損します
 * go#77805 cmd/fix、x/tools/go/analysis/passes/ modernizewaitgroup がコンパイルエラーを引き起こします
 * go#77807 cmd/fix,x/tools/go/analysis/passes/ modernize変数が複数回使用されている場合、stringsbuilder が変数を無視します
 * go#77849 cmd/fix,x/tools/go/analysis/passes/ modernizestringscut リライトの動作を変更します
 * go#77860 cmd/gogo mod init のデフォルトの go ディレクティブを に変更します 1.N
 * go#77899 cmd/fix、x/tools/go/analysis/passes/ modernizerangeint の書き換え
 * go#77904 x/tools/go/analysis/passes/ modernizeGenDecl がブロック宣言の場合、 stringsbuilder がコードを破棄します

 go1.26.02026年2月10日リリースはGoのメジャーリリースです。
 go1.26.x マイナーリリースは 2027 年 2 月まで提供されます。
 https://github.com/golang/go/wiki/Go-Release-Cyclego1.26 Go の 6 か月後に到達 1.25 変更のほとんどは、ツールチェーン、ランタイム、およびライブラリの実装に含まれています。これまでどおり、このリリースはGo 1の互換性保証を維持します。ほとんどすべての Go プログラムが、以前と同じようにコンパイルされ、実行され続けると思われます。boo#1255111

 * 言語変更新しい変数を作成する組み込み新しい関数により、変数の初期値を指定して、そのオペランドを式にすることができます。
 * 言語の変更ジェネリックタイプはそのタイプパラメーターリストで自身を参照できないという制限が解除されました。制約されているジェネリック型を参照する型制約を指定できるようになりました。
 * go コマンド古くに継承されている go fix コマンドが完全に修正され、現在は Gos モデタイザーのホームになりました。これは、Go コードベースを最新の idioms およびコアライブラリ API に更新できる、信頼できるプッシュボタンの方法を提供します。モジュラーの初期パッケージには、Go 言語およびライブラリの最新機能を使用するための多数の修正者と、ユーザーが //go:fix インラインディレクティブを使用して独自の API 移行を自動化できるソースレベルのインラインが含まれています。これらの修正は、プログラムの動作を変更することはありません。そのため、go fix によって実行される修正で問題が発生した場合は、報告してください。
 * go コマンドリライトされた go fix コマンドは、go vet とまったく同じ Go 分析フレームワークに基づいて構築されます。これは、go vet で診断を提供するのと同じアナライザーを、go fix で修正を提案および適用するのに使用できることを意味します。それらはすべて廃止された go fix コマンドの履歴修正が削除されました。
 * go コマンド近日中に送信される 2 つの Go ブログ投稿では、モデタイザー、インラインアップ、go 修正を最大限の活用する方法について詳しく説明しています。
 * go コマンド新しい go.mod ファイルで、go mod init が低い go バージョンをデフォルト設定するようになりました。バージョン 1.N.X のツールチェーンを使用して go mod init を実行すると、Go バージョン go 1.(N-1).0 を指定する go.mod ファイルが作成されます。 1.N のプレリリースバージョンでは、go 1.(N-2).0 を指定する go.mod ファイルが作成されます。たとえば、Go 1.26 リリース候補では go 1.24.0のある go.mod ファイルが作成され、Go 1.26 とそのマイナーリリースでは go 1.25.0のある go.mod ファイルが作成されます。これは、現在サポートされているバージョンの Go と互換性のあるモジュールの作成を促すことを目的としています。新しいモジュールの go バージョンをさらにコントロールする場合、go mod init は go get go@version でフォローアップできます。
 * go コマンドcmd/doc および go ツール doc が削除されました。 go docはgo tool docの代替として使用できます。同じフラグと引数を使用し、動作が同じです。
 * pprof -http フラグで有効化された pprof ツールの Web UI は、デフォルトでフレームグラフビューになりました。以前のグラフビューは、[表示] -> [グラフ] メニューで、または /ui/graph から利用できます。
 * Runtime: 以前は 1.25Goの実験として利用可能であった新しい GreenTea ガベージコレクターが、フィードバックを取り込んだ後、デフォルトで有効になりました。このガベージコレクターの設計により、ローカル性と CPU 拡張性を向上することで、小さなオブジェクトのマーキングおよびスキャンのパフォーマンスを向上させます。ベンチマークの結果はさまざまですが、ガベージコレクターを大量に使用する実在するプログラムでは、ガベージコレクションオーバーヘッドが 1040% 削減されるまでを想定しています。より新しい amd64 ベースの CPU プラットフォーム (Intel Ice Lake または AMD Zen 4 以降) で実行する際に、ガベージコレクションオーバーヘッドで 10% の段階で、さらなる改善が予想されます。これは、ガベージコレクターは現在、小さなオブジェクトをスキャンするためにベクトル命令を利用しているためです。可能性があります。ビルド時に GOEXPERIMENT=nogreenteagc を設定することで、新しいガベージコレクターを無効にできる可能性があります。このオプトアウト設定は Go で削除される予定です 1.27。パフォーマンスまたは動作に関連する何らかの理由で新しいガベージコレクターを無効にする場合は、問題を報告してください。
 * Runtimecgocgo 呼び出しのベースラインランタイムオーバーヘッドが 30% 以下に減りました。
 * Runtimeヒープベースアドレスのランダム化64ビットプラットフォームで、ランタイムは起動時にヒープベースアドレスをランダム化するようになりました。これは、攻撃者がメモリアドレスを推測し、cgo を使用して脆弱性を悪用することを困難にするセキュリティ強化です。この機能は、ビルド時に GOEXPERIMENT=norandomizedheapbase64 を設定することで無効にできます。このオプトアウト設定は、将来の Go リリースで削除される予定です。
 * Runtime: 実験的な goroutin 漏洩プロファイル漏洩した goroutines を報告する新しいプロファイルタイプが、実験として利用可能になりました。runtime/pprof パッケージで goroutineleak と呼ばれる新しいプロファイルタイプは、ビルド時に GOEXPERIMENT=goroutinleakprofile を設定することで有効になる場合があります。実験を有効にすると、プロファイルは net/http/pprof エンドポイント、/debug/pprof/goroutineleak としても利用可能になります。漏洩した goroutine は、ブロック解除されない可能性がある一部の並行性プリミティブチャネル、sync.Mutex、sync.Cond でブロックされた goroutine です。ランタイムは、ガベージコレクターを使用して漏洩した goroutines を検出します。goroutine G が同時並行プリミティブな P でブロックされ、実行可能な goroutine またはそれらがブロック解除する可能性のある goroutine から P に到達できない場合、P のブロックを解除できないため、goroutine G は決して起動できません。 。すべての場合で、完全にブロックされた goroutin を検出することは不可能ですが、このアプローチはそのような漏洩の大規模なクラスを検出します。この手法は到達可能性に基づいているため、ランタイムは、グローバル変数または実行可能な goroutines のローカル変数を通じて到達可能な同時実行プリミティブのブロックによって発生する漏洩を特定できない可能性があります。この作業を協力してくれた Uber の Vlad Saioc 氏に感謝の意を表します。基礎となる理論は、Saioc たちによる発表で詳細に提示されています。の実装は実稼働対応であり、API のフィードバック、特に新しいプロファイルにするための選択を収集する目的だけが、実験であると見なされます。また、この機能は積極的に使用されない限り、追加のランタイムオーバーヘッドを発生させないように設計されています。ユーザーは、Go プレイグラウンド、テスト、継続的インテグレーション、本番環境で新しい機能を試すことが推奨されます。提案される問題に関する追加のフィードバックを受け入れます。Go で goroutine 漏洩プロファイルをデフォルトで有効化する予定です 1.27。
 * コンパイラコンパイラは、より多くの状況でスタック上のスライスにバッキングストアを割り当てることができるようになり、パフォーマンスが向上しています。この変更により問題が発生している場合、bisect ツールを使用して、
 -compile=variablemake フラグを介しても指定することができます。そのような新しいスタック割り当てはすべて、-gcflags=all=-d=variablemakehash=n を使用してオフにすることもできます。この最適化で問題が発生した場合は、問題を報告してください。
 * リンカー64 ビット ARM ベースの Windowswindows/arm64 ポートで、リンカーは現在、-ldflags=-linkmode=internal フラグでリクエストできる cgo プログラムの内部リンクモードをサポートするようになりました。
 * Linker実行可能ファイルにいくつかのマイナーな変更があります。これらの変更は、実行中の Go プログラムに影響しません。これらは Go 実行可能ファイルを分析するプログラムに影響を与える可能性があり、カスタムリンカースクリプトで外部リンクモードを使用するユーザーに影響を与える可能性があります。
 * リンカーmoduledata 構造が、.go.module という名前の独自のセクションになりました。
 * Linkerスライスである、moduledatacutab フィールドが正しく長さになりました。以前は、この長さは 4 倍でした。
 * リンカー.gopclntab セクションの開始にある pcHeader において、テキストセクションの開始を記録しなくなりました。そのフィールドは現在、常に 0 です。
 * Linker.gopclntab セクションに再配置が含まれないように pcHeader が変更されました。relro をサポートするプラットフォームでは、 セクションが relro セグメントからrodata セグメントへ移動されています。
 * Linkerfuncdata シンボルおよび findfunctab が .rodata セクションから .gopclntab セクションへ移動されました。
 * リンカー.gosymtab セクションは削除されました。以前は常に存在するが空でした。
 * Linker内部リンク使用時、ELFセクションがアドレス順でソートされたセクションヘッダーリストに表示されます。以前の順序は、いくつかの予測不能がありました。
 * リンカーここでのセクション名への参照は、Linux やその他のシステムで見られる ELF 名を使用しています。Darwin で見られる Mach-O の名前は、二重アンダースコアで始まり、ドットが含まれていません。
 * ブートストラップGo 1.24 リリースノートに記載されているように、Go 1.26 ではブートストラップに Go 1.24.6 またはそれ以降が必要になりました。弊社では、Go 1.28 にはブートストラップ用の Go 1.26 またはそれ以降のマイナーリリースが必要となることが予想されます。
 * 標準ライブラリ新しい crypto/hpke パッケージ新しい crypto/hpke パッケージは、post-quantum ハイブリッド KEM のサポートを含む RFC 9180 で指定されているように、ハイブリッド公開鍵暗号化HPKEを実装します。
 * 標準ライブラリ新しい実験的 simd/archsimd パッケージGo 1.26 では、新しい実験的 simd/archsimd パッケージを導入します。これは、ビルド時に環境変数 GOEXPERIMENT=simd を設定することで有効化できます。このパッケージは、アーキテクチャ固有の SIMD 操作へのアクセスを提供します。現在、amd64 アーキテクチャで利用可能で、Int8x16 や Float64x8 などの 128 ビット、256 ビット、512 ビットのベクトルタイプをサポートしています。また、Int8x16.Add などの操作で使用できます。API はまだ安定版stableとは見なされません。今後のバージョンで他のアーキテクチャのサポートを提供する予定ですが、API は意図的にアーキテクチャ固有のため、ポータブルではありません。さらに、将来的には高レベルのポータブル SIMD パッケージを開発する予定です。
 * 標準ライブラリ新しい実験的 runtime/secret パッケージ新しい runtime/secret パッケージが実験として利用可能です。これは、ビルド時に環境変数 GOEXPERIMENT=runtimesecret を設定することで有効化できます。レジスタ、スタック、新しいヒープ割り当てなど、本質的に秘密情報を操作するコードで使用される一時を安全に消去する機能を提供します。このパッケージの目的は、forward secrecy をより簡単に確保できるようにすることです。現在は、Linux の amd64 および arm64 アーキテクチャをサポートしています。
 * bytes新しい Buffer.Peek メソッドは、展開を行わずに、バッファから次の n バイトを返します。
 * crypto新しい Encapsulator および Decapsulation インターフェイスにより、抽象 KEM カプセル化または非カプセル化キーを受け入れることができます。
 * crypto/dsaGenerateKey に対するランダムパラメーターは今では無視されます。代わりに、暗号的にランダムなバイトの安全なソースを常に使用するようになりました。決定性テストの場合、新しい tests/cryptotest.SetGlobalRandom 関数を使用します。新しい GODEBUG 設定 cryptocustomrand=1 は、古い挙動を一時的に復元します。
 * crypto/ecdhCurve.GenerateKey に対するランダムなパラメーターは今では無視されます。代わりに、暗号的にランダムなバイトの安全なソースを常に使用するようになりました。決定性テストの場合、新しい tests/cryptotest.SetGlobalRandom 関数を使用します。新しい GODEBUG 設定 cryptocustomrand=1 は、古い挙動を一時的に復元します。PrivateKey によって実装される新しい KeyExchange インターフェイスにより、抽象的な ECDH 秘密鍵、例えばハードウェアに実装される鍵、を受け入れることが可能になります。
 * crypto/ecdsaPublicKey および PrivateKey の big.Int フィールドは現在廃止されています。GenerateKey、SignASN1、Sign、および PrivateKey.Sign に対するランダムパラメーターは今では無視されます。代わりに、暗号的にランダムなバイトの安全なソースを常に使用するようになりました。決定性テストの場合、新しい tests/cryptotest.SetGlobalRandom 関数を使用します。新しい GODEBUG 設定 cryptocustomrand=1 は、古い挙動を一時的に復元します。
 * crypto/ed25519GenerateKey に対するランダムパラメーターが nil の場合、GenerateKey はオーバーライドされる可能性があるcrypto/rand.Reader の代わりに、暗号的にランダムバイトの安全なソースを常に使用するようになりました。新しい GODEBUG 設定 cryptocustomrand=1 は、古い挙動を一時的に復元します。
 * crypto/fips140新しい withoutEnforcement および Enforced 関数により、現在、厳格な FIPS 140-3 チェックを選択的に無効にしながら、GODEBUG=fips140=only モードで実行が許可されるようになりました。バージョン は、 GOFIPS140でフリーズしたモジュールに対して構築する際、解決済みの FIPS 140-3 Go Cryptographic モジュールのバージョンを返します。
 * crypto/mlkem新しい DecapsulationKey768.Encapsulator および DecapsulationKey1024.Encapsulator メソッドは、新しい crypto.Decapsulator インターフェイスを実装します。
 * crypto/mlkem/mlkemtest新しい crypto/mlkem/mlkemtest パッケージは、既知の回答テストで使用するために、ランダム化された ML-KEM カプセル化を実装する Encapsulate768 および Encapsulate1024 関数を公開します。
 * crypto/randPrime に対するランダムパラメーターは今では無視されます。代わりに、暗号的にランダムなバイトの安全なソースを常に使用するようになりました。決定性テストの場合、新しい tests/cryptotest.SetGlobalRandom 関数を使用します。新しい GODEBUG 設定 cryptocustomrand=1 は、古い挙動を一時的に復元します。
 * crypto/rsa新しい EncryptOAEPWithOptions 関数により、OAEP パディングおよび MGF1 マスク生成に対して異なるハッシュ関数を指定できます。
 * crypto/rsaGenerateKey、GenerateMultiPrimeKey、および EncryptPKCS1v15 に対するランダムパラメーターが今では無視されます。代わりに、暗号的にランダムなバイトの安全なソースを常に使用するようになりました。決定性テストの場合、新しい tests/cryptotest.SetGlobalRandom 関数を使用します。新しい GODEBUG 設定 cryptocustomrand=1 は、古い挙動を一時的に復元します。
 * crypto/rsaPrivateKey.Precompute の呼び出し後に PrivateKey フィールドが変更されると、PrivateKey.Validate が失敗するようになりました。
 * crypto/rsaPrivateKey.D が使用されていない場合でも、事前計算された値との整合性がチェックされるようになりました。
 * crypto/rsa安全でない PKCS #1 v1.5 暗号化パディングEncryptPKCS1v15、DecryptPKCS1v15、および DecryptPKCS1v15SessionKey により実装は廃止予定です。
 * crypto/subtleWithDataIndependentTiming 関数は、渡された関数の実行中に、OS スレッドへの goroutin の呼び出しをロックしなくなりました。さらに、渡された関数の実行中に生成されるすべての goroutines とその子が、有効期間、WithDataIndependentTiming のプロパティを継承するようになりました。この変更は、次の方法でも cgo に影響を与えます
 * crypto/subtleWithDataIndependentTimingに渡される関数内、またはWithDataIndependentTimingとその子解除に渡される関数により生成されたgorouter Cコードがデータに依存するタイミングを無効にしている場合、Goに戻ると再び有効になります。
 * crypto/subtleC コードが cgo 経由で呼び出された場合、WithDataIndependentTiming またはそれ以外に渡された関数から、データに依存するタイミングが有効または無効にされ、Go に呼び出すと、その状態が呼び出し中、保存されます。
 * crypto/tlsSecP256r1MLKEM768 と SecP384r1MLKEM1024 のハイブリッドの post-quantum 鍵交換がデフォルトで現在有効になっています。これらは、Config.CurvePreferences を設定するか、tlssecpmlkem=0 GODEBUG 設定で無効にできます。
 * crypto/tls新しい ClientHelloInfo.HelloRetryRequest フィールドは、ClientHello が HelloRetryRequest メッセージへの応答で送信されたかどうかを示します。新しい ConnectionState.HelloRetryRequest フィールドは、接続ロールに応じて、サーバーが HelloRetryRequest を送信したか、またはクライアントが HelloRetryRequest を受信したかを示します。
 * crypto/tlsQUIC 実装で使用される QUICConn タイプに、TLS ハンドシェイクエラーを報告するための新しいイベントが含まれます。
 * crypto/tlsCertificate.PrivateKey が crypto.MessageSigner を実装する場合、その SignMessage メソッドは TLS 1.2 以降のサインインの代わりに使用されます。
 * crypto/tlsGo 1.22 および Go 1.23 で導入された次の GODEBUG 設定は、次のメジャー Go リリースで削除される予定です。Go 1.27で起動すると、GODEBUG 設定や go.mod 言語バージョンに関係なく、新しい動作が適用されます。
 * crypto/tlsGODEBUG tlsunsafeekm
 ConnectionState.ExportKeying Materialには TLS 1.3 または Extended Master Secret が必要です。
 * crypto/tlsGODEBUG tlsrsakexECDH のないレガシー RSA 専用鍵交換がデフォルトで有効になりません。
 * crypto/tlsGODEBUG tls10serverクライアントおよびサーバー両方のデフォルトの最小 TLS バージョンは TLS になります 1.2。
 * crypto/tlsGODEBUG tls3desデフォルト暗号スイートに 3DES が含まれません。
 * crypto/tlsGODEBUG x509keypairleafX509KeyPair および LoadX509KeyPair は常に、Certificate.Leaf フィールドを入力します。
 * crypto/x509ExtKeyUsage および KeyUsage タイプに、RFC 5280 およびその他のレジストリで定義された対応する OID 名を返す String メソッドが用意されました。
 * crypto/x509ExtKeyUsage タイプに、EKU に対応する OID を返す OID メソッドが用意されました。
 * crypto/x509新しい OIDFromASN1OID 関数により、encoding/asn1.ObjectIdentifier の OID への変換が可能になります。
 * デバッグ/elfLoongArch ELF psABI v20250521グローバルバージョン v2.40からの追加の R_LARCH_* 定数が、LoongArch システムで使用するために定義されます。
 * エラー新しい AsType 関数は As のジェネリックバージョンです。これは型セーフであり、高速であり、多くの場合、使いやすいです。
 * fmtフォーマットされていない文字列では、fmt.Errorf(x) がより少なく割り当てられ、errors.New(x) の割り当てとほぼ一致するようになりました。
 * go/ast新しい ParseDirective 関数は、//go:generate などのコメントであるディレクティブコメントを解析します。ソースコードツールは独自のディレクティブコメントに対応しており、この新しい API は従来の構文を実装する手助けとなります。
 * go/ast新しい BasicLit.ValueEnd フィールドが、リテラルの正確な終了位置を記録するため、BasicLit.End メソッドが常に正しい応答を返すことができるようになりました。以前は、復帰が削除されていたため、Windows ソースファイルの複数行の raw 文字列リテラルに対して不適切なヒューリスティックを使用して計算されていました。
 * go/astパーサーによって生成される BasicLits の ValuePos フィールドを更新するプログラムは、フォーマット済み出力のわずかな違いを回避するために、ValueEnd フィールドも更新またはクリアする必要があるかもしれません。
 * go/token新しい File.End 便利メソッドが、ファイル終了位置を返します。
 * go/typesGo 1.22 で導入された gotypesalias GODEBUG 設定は、次のメジャー Go リリースで削除される予定です。Go 1.27で起動すると、go/types パッケージは GODEBUG 設定または go.mod 言語バージョンに関係なく、タイプエイリアスの表示に対して常にエイリアスタイプを生成します。
 * image/jpegJPEG エンコーダーおよびデコーダーが、新しく、より高速で、より正確な実装に置き換えられました。エンコーダーまたはデコーダーからの特定のビット毎出力を想定するコードは、更新が必要な場合があります。
 * ioReadAll が割り当てる中間メモリを減らし、最小サイズの最終スライスを返すようになりました。多くの場合、通常は総メモリ量の約半分を割り当てられているのに対し、約 2 倍の速度になります。これは、入力が大きいほど利点があります。
 * log/slogNewMultiHandler 関数が、指定されたすべてのハンドラーを呼び出す MultiHandler を作成します。その Enabled メソッドは、ハンドラーのいずれかの Enabled メソッドが true を返すかどうかをレポートします。その Handle、WithAttrs および WithGroup メソッドは、有効化された各ハンドラで対応するメソッドを呼び出します。
 * net新しい Dialer メソッド DialIP、DialTCP、DialUDP、および DialUnix は、コンテキスト値を持つ特定のネットワークタイプにダイアルすることを許可します。
 * net/http新しい HTTP2Config.StrictMaxConcurrentRequests フィールドが、既存の HTTP/2 接続がストリーム制限を超えた場合に新しい接続を開く必要があるかどうかを制御します。
 * net/http新しい Transport.NewClientConn メソッドが、HTTP サーバーへのクライアント接続を返します。ほとんどのユーザーは、引き続き Transport.RoundTrip を使用してリクエストを作成し、接続のプールを管理する必要があります。NewClientConn は、独自の接続管理を実装する必要があるユーザーに役立ちます。
 * net/httpクライアントは、利用可能な場合に Request.Host に一致するホスト部分がある URL にスコープされたクッキーを使用し、設定するようになりました。以前は、常に接続アドレスホストが使用されました。
 * net/http/httptestServer.Client によって返される HTTP クライアントは現在、example.com およびあらゆるサブドメインのリクエストをテスト対象のサーバーにリダイレクトするようになりました。
 * net/http/httputilReverseProxy.Director 構成フィールドは廃止され、ReverseProxy.Rewrite に使用されます。
 * net/http/httputil悪意のあるクライアントが、Director 機能によって追加されたヘッダーをホップバイホップとして指定することで、これらのヘッダーを削除できます。Director API の範囲内でこの問題に対処する方法がないため、Go に新しい Rewrite フックを追加しました 1.20。プロキシが受信する変更されていないインバウンドリクエストと、プロキシによって送信されるアウトバウンドリクエストの両方で、再書き込みフックが提供されます。Director フックは基本的に安全ではないため、現在はこれを廃止しています。
 * net/netip新しい Prefix.Compare メソッドは、2 つのプレフィックスを比較します。
 * net/url解析は、 http://::1/ や http://localhost:80:80/などのホストサブコンポーネントにコロンを含む無効な形式の URL を拒否するようになりました。http://[::1]/ などの括弧付き IPv6 アドレスを含む URL も引き続き受理されます。GODEBUG の新しい設定 urlstrictcolons=0 は、古い挙動を復元します。
 * os新しい Process.WithHandle メソッドが、サポートされているプラットフォームで内部プロセスハンドルへのアクセスを提供しますLinux では pidfd 5.4 以降、Windows では Handle。
 * osWindows では、OpenFile フラグパラメーターに、ファイルまたはデバイスのキャッシング動作、アクセスモード、その他の特殊用途のフラグのコントロールのために、FILE_FLAG_OVERLAPPED や FILE_FLAG_SEQUENTIAL_SCAN などの Windows 固有のファイルフラグの任意の組み合わせを含めることができるようになりました。
 * os/signalNotifyContext は、context.CancelCauseFunc および受信されたシグナルを示すエラーで返されたコンテキストをキャンセルするようになりました。
 * Reflect新しいメソッド Type.Fields、Type.Methods、Type.Ins、Type.Outs はそれぞれ、タイプフィールド構造体タイプ、メソッド、入力および出力パラメーター関数タイプ用の反復子を返します。同様に、新しいメソッド Value.Fields と Value.Methods はそれぞれ、値フィールドまたはメソッドで反復子を返します。反復するたびに、フィールドまたはメソッドの Value とともに、フィールドまたはメソッドの型情報 (StructField または Method) が生成されます。
 * ランタイム/メトリクス/sched/goroutines 優先度でのさまざまな状態 (待機中、実行可能など) での goroutines の数を含む、いくつかの新しいスケジューラメトリクスが追加されました。

 注意: この説明は、長さの関係上省略されています。詳細については、ベンダーのアドバイザリを参照してください。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるgo1.26、go1.26-libstd、go1.26-raceパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1255111

https://bugzilla.suse.com/1259264

https://bugzilla.suse.com/1259265

https://bugzilla.suse.com/1259266

https://bugzilla.suse.com/1259267

https://bugzilla.suse.com/1259268

https://www.suse.com/security/cve/CVE-2026-25679

https://www.suse.com/security/cve/CVE-2026-27137

https://www.suse.com/security/cve/CVE-2026-27138

https://www.suse.com/security/cve/CVE-2026-27139

https://www.suse.com/security/cve/CVE-2026-27142

プラグインの詳細

深刻度: Low

ID: 302094

ファイル名: openSUSE-2026-20342-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2026/3/13

更新日: 2026/3/13

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.1

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 4.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2026-27142

CVSS v3

リスクファクター: Low

基本値: 2.5

現状値: 2.2

ベクトル: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2026-27139

脆弱性情報

CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:go1.26-race, p-cpe:/a:novell:opensuse:go1.26-libstd, p-cpe:/a:novell:opensuse:go1.26

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/3/11

脆弱性公開日: 2026/3/5

参照情報

CVE: CVE-2026-25679, CVE-2026-27137, CVE-2026-27138, CVE-2026-27139, CVE-2026-27142