openSUSE 16 セキュリティ更新: osslsigncode (openSUSE-SU-2026:20473-1)

critical Nessus プラグイン ID 305838

Language:

概要

リモートの openSUSE ホストに、セキュリティ更新プログラムがありません。

説明

リモートの openSUSE 16 ホストにインストールされているパッケージは、openSUSE- SU-2026:20473-1 のアドバイザリに記載されている脆弱性の影響を受けます。

osslsigncode の変更:

- 2.13 (bsc#1260680、CVE-2025-70888) への更新:
* APPX 圧縮データストリームの処理時における整数オーバーフローを修正しました
* APPX ファイル処理における二重解放の脆弱性を修正しました
* PE ページハッシュ計算における複数のメモリ破損問題を修正しました

- 2.12 からの変更:
* メッセージダイジェストの抽出中に発生するバッファオーバーフローを修正しました

- 2.11 からの変更:
* 署名者証明書に対する keyUsage 検証を追加しました
* 署名検証中に CRL の詳細を表示する機能を追加しました
* CRL サーバーが application/pkix-crl 以外の HTTP Content-Type ヘッダーを返す場合の回避策を実装しました。
* HTTP キープアライブ処理を修正しました
* macOS のコンパイラおよびリンカーフラグを修正しました
* BIO_FLAGS_UPLINK_INTERNAL における BIO_get_fp() の未定義動作を修正しました

- 2.10 への更新:
* JavaScript 署名機能を追加しました
* PKCS#11 プロバイダのサポートを追加しました (OpenSSL 3.0+ が必要です)
* プロバイダの指定なしに対応するサポートを追加しました
-pkcs11module オプション
* (OpenSSL 3.0+、例えば、今後の CNG プロバイダ用)
* CNG エンジンバージョン 1.1 以降との互換性を追加しました
* ハードウェアおよび CNG エンジンを制御する -engineCtrl オプションを追加しました
* ブロブコンテンツを含むファイルを指定する「-blobFile」オプションを追加しました
* 未認証ブロブのサポートを改善しました (Asger Hautop Drewsen 氏に感謝します)
* 証明書のサブジェクトおよび発行者に対する UTF-8 処理を改善しました
* 複数の signerInfo contentType OID (CTL および Authenticode) へのサポートを修正しました
* python-cryptography >= 43.0.0 に対するテストを修正しました

- バージョン 2.9への更新:
* 64 ビット長の疑似ランダム NONCE を TSA リクエストに追加しました
* NID_pkcs9_signingTime の欠如はもはやエラーではありません
* PEM エンコードされた CRL のサポートを追加しました
* APPX 中央ディレクトリのソート順を修正しました
* 標準入力からパスフレーズを読み取るための特別な「-」ファイル名を追加しました
* OpenSSL 3.x を使用するネイティブ HTTP クライアントを採用し、libcurl への依存を削除しました
*「-login」オプションを追加し、PKCS11 エンジンへのログインを強制するようにしました
* CRL 配布ポイントの取得および検証を無効化する -ignore-crl オプションを追加しました
* エラー出力を stdout ではなく stderr に変更しました
* 各種テストフレームワークの改善
* 各種メモリ破損の修正

- バージョン 2.8への更新:
* Microsoft PowerShell の署名を Cisco Systems が支援
* ネストされた署名において、未認証属性 (Countersignature、Unauthenticated Data Blob) の
* 設定を修正しました。
* 特定の署名を検証したり、その未認証属性を変更したりするための -index オプションを追加しました
* CAT ファイルの検証を追加しました
* -verbose オプションで CAT ファイルの内容を一覧表示する機能を追加しました
* sign で署名し、attach-signature で添付するための PKCS#7 データコンテンツを抽出する新しい extract-data コマンドを追加しました
* PKCS9_SEQUENCE_NUMBER の認証属性サポートを追加しました
* CRL 配布ポイント (CDP) のオンライン検証を無効化する -ignore-cdp オプションを追加しました
* CRL の取得および検証が失敗した場合を重要エラーとして扱うように変更しました。-p オプションは、CRL 配布ポイントへの接続時に設定済みプロキシも使用するように変更されました
* Microsoft Root Authority のシリアル番号 00C1008B3C3C8811D13EF663ECDF40 の暗黙的な許可リストを追加しました
* 検証失敗時に署名から取得した証明書チェーンの一覧表示を追加しました

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける osslsigncode パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1260680

https://www.suse.com/security/cve/CVE-2025-70888

プラグインの詳細

深刻度: Critical

ID: 305838

ファイル名: openSUSE-2026-20473-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2026/4/10

更新日: 2026/4/10

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus