SUSE SLES12 セキュリティ更新: tomcat (SUSE-SU-2026:1058-1)
critical Nessus プラグイン ID 303957
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES12 ホストには、SUSE-SU-2026:1058-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。Tomcat 9.0.115に更新します。
- CVE-2025-48989HTTP/2 プロトコルHTTPS 経由の DNS を含むは、「MakeYourReset」DoS 攻撃に対して脆弱ですbsc#1243895。
- CVE-2025-52434APR/Native コネクタを使用する際の接続切断の競合状態により、JVM クラッシュが引き起こされる可能性がありますbsc#1246389。
- CVE-2025-53506HTTP/2 クライアントの制御されないリソース消費の脆弱性bsc#1246318。
- CVE-2025-66614仮想ホストマッピングによるクライアント証明書の検証バイパスbsc#1258371。
- CVE-2026-24733HTTP/0.9 リクエストでの入力検証が不適切ですbsc#1258385。
- CVE-2023-44487高速リセット攻撃bsc#1216182。
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1216182
https://bugzilla.suse.com/1243895
https://bugzilla.suse.com/1246318
https://bugzilla.suse.com/1246389
https://bugzilla.suse.com/1258371
https://bugzilla.suse.com/1258385
https://bugzilla.suse.com/1259224
http://www.nessus.org/u?e8ab1a97
https://www.suse.com/security/cve/CVE-2020-13934
https://www.suse.com/security/cve/CVE-2020-13935
https://www.suse.com/security/cve/CVE-2020-13943
https://www.suse.com/security/cve/CVE-2020-17527
https://www.suse.com/security/cve/CVE-2021-24122
https://www.suse.com/security/cve/CVE-2021-25122
https://www.suse.com/security/cve/CVE-2021-25329
https://www.suse.com/security/cve/CVE-2021-30640
https://www.suse.com/security/cve/CVE-2021-33037
https://www.suse.com/security/cve/CVE-2021-41079
https://www.suse.com/security/cve/CVE-2021-43980
https://www.suse.com/security/cve/CVE-2022-23181
https://www.suse.com/security/cve/CVE-2022-42252
https://www.suse.com/security/cve/CVE-2023-24998
https://www.suse.com/security/cve/CVE-2023-28708
https://www.suse.com/security/cve/CVE-2023-28709
https://www.suse.com/security/cve/CVE-2023-41080
https://www.suse.com/security/cve/CVE-2023-42795
https://www.suse.com/security/cve/CVE-2023-44487
https://www.suse.com/security/cve/CVE-2023-45468
https://www.suse.com/security/cve/CVE-2023-46589
https://www.suse.com/security/cve/CVE-2024-21733
https://www.suse.com/security/cve/CVE-2024-23672
https://www.suse.com/security/cve/CVE-2024-24549
https://www.suse.com/security/cve/CVE-2024-34750
https://www.suse.com/security/cve/CVE-2024-38286
https://www.suse.com/security/cve/CVE-2024-50379
https://www.suse.com/security/cve/CVE-2024-52316
https://www.suse.com/security/cve/CVE-2024-54677
https://www.suse.com/security/cve/CVE-2025-24813
https://www.suse.com/security/cve/CVE-2025-31651
https://www.suse.com/security/cve/CVE-2025-46701
https://www.suse.com/security/cve/CVE-2025-48988
https://www.suse.com/security/cve/CVE-2025-48989
https://www.suse.com/security/cve/CVE-2025-49125
https://www.suse.com/security/cve/CVE-2025-52434
https://www.suse.com/security/cve/CVE-2025-52520
https://www.suse.com/security/cve/CVE-2025-53506
https://www.suse.com/security/cve/CVE-2025-55752
https://www.suse.com/security/cve/CVE-2025-55754
https://www.suse.com/security/cve/CVE-2025-61795
プラグインの詳細
深刻度: Critical
ID: 303957
ファイル名: suse_SU-2026-1058-1.nasl
バージョン: 1.3
タイプ: Local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2026/3/27
更新日: 2026/3/30
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.2
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 4.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2021-30640
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
CVSS スコアのソース: CVE-2025-31651
CVSS v4
リスクファクター: Critical
Base Score: 9.2
Threat Score: 9.2
Threat Vector: CVSS:4.0/E:A
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS スコアのソース: CVE-2025-24813
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:tomcat-jsp-2_3-api, p-cpe:/a:novell:suse_linux:tomcat-webapps, p-cpe:/a:novell:suse_linux:tomcat-lib, p-cpe:/a:novell:suse_linux:tomcat-javadoc, p-cpe:/a:novell:suse_linux:tomcat-el-3_0-api, cpe:/o:novell:suse_linux:12, p-cpe:/a:novell:suse_linux:tomcat, p-cpe:/a:novell:suse_linux:tomcat-servlet-4_0-api, p-cpe:/a:novell:suse_linux:tomcat-docs-webapp, p-cpe:/a:novell:suse_linux:tomcat-admin-webapps
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/3/26
脆弱性公開日: 2020/7/5
CISA の既知の悪用された脆弱性の期限日: 2023/10/31, 2025/4/22
エクスプロイト可能
Metasploit (Tomcat Partial PUT Java Deserialization)
参照情報
CVE: CVE-2020-13934, CVE-2020-13935, CVE-2020-13943, CVE-2020-17527, CVE-2021-24122, CVE-2021-25122, CVE-2021-25329, CVE-2021-30640, CVE-2021-33037, CVE-2021-41079, CVE-2021-43980, CVE-2022-23181, CVE-2022-42252, CVE-2023-24998, CVE-2023-28708, CVE-2023-28709, CVE-2023-41080, CVE-2023-42795, CVE-2023-44487, CVE-2023-45468, CVE-2023-46589, CVE-2024-21733, CVE-2024-23672, CVE-2024-24549, CVE-2024-34750, CVE-2024-38286, CVE-2024-50379, CVE-2024-52316, CVE-2024-54677, CVE-2025-24813, CVE-2025-31651, CVE-2025-46701, CVE-2025-48988, CVE-2025-48989, CVE-2025-49125, CVE-2025-52434, CVE-2025-52520, CVE-2025-53506, CVE-2025-55752, CVE-2025-55754, CVE-2025-61795, CVE-2025-66614, CVE-2026-24733
IAVA: 2020-A-0316-S, 2020-A-0465-S, 2020-A-0570-S, 2021-A-0114-S, 2021-A-0303-S, 2021-A-0483, 2022-A-0457-S, 2023-A-0112-S, 2023-A-0156-S, 2023-A-0266-S, 2023-A-0443-S, 2023-A-0534-S, 2023-A-0661-S, 2024-A-0144-S, 2024-A-0393-S, 2024-A-0589-S, 2024-A-0754-S, 2024-A-0822-S, 2025-A-0156-S, 2025-A-0313-S, 2025-A-0389-S, 2025-A-0437-S, 2025-A-0478-S, 2025-A-0582-S, 2025-A-0803-S, 2026-A-0175
SuSE: SUSE-SU-2026:1058-1