検出

SUSE SLES16 セキュリティアップデート:ヘルム(SUSE-SU-2026:21434-1)

medium Nessus プラグイン ID 312134

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES16 / SLES_SAP16 ホストには、SUSE-SU-2026:21434-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 バージョン 3.20.2 に更新してください。

 セキュリティ発行 固定:

 - CVE-2025-55199:特別に設計されたJSONスキーマはメモリ外(OOM)終端(bsc#1248093)を引き起こすことがあります。
 - CVE-2026-35206:特別に作成されたチャートでは、内容がチャート名(bsc#1261938)で付いた期待される出力ディレクトリではなく、即時の出力ディレクトリに抽出されます。

 その他の更新およびバグ修正:

 - バージョン 3.20.1:
 - 雑用(DEPS):K8S-IOグループを7つのアップデートで押し上げる a2369ca(dependabot[bot])
 - 画像インデックステスト 90e1056(ペドロ・T?rres)
 - OCIインデックス911f2e9(Pedro T?rres)からチャートを抽出する修正
 - coalesce_test.go 76dad33(エヴァンス・マンガイ)からのリファクタリング変更を削除
 - Fix import 45c12f7(エヴァンス・ムンガイ)
 - 更新:pkg/chart/common/util/coalesce_test.go 26c6f19(エヴァンス・マンガイ)
 - Fix lint warning 09f5129(エヴァンス・マンガイ)
 - チャートですでに417deb2のニル値を保持(エヴァンス・マンガイ)
 - 修正(値):チャートのデフォルトが空のマップ5417bfa(エヴァンス・マンガイ)の場合、nil値を保持する
 - バージョン 3.20.0:
 - SDK:k8s APIバージョンをv0.35.0にアップ
 - v3 バックポート: --keep-history でヘルムアンインストールしても以前のデプロイリリースが停止されなかったバグを修正 #12564
 - v3 バックポート:Bump Go バージョンから v1.25
 - v3.20へのバンプバージョン
 - 雑事(DEPS): 0.32.0 から golang.org/x/text の上昇 0.33.0
 - 家事(DEPS): 0.38.0 から golang.org/x/term への昇格 0.39.0
 - 雑事(DEPS): 1.1.0 から github.com/foxcpp/go-mockdns への昇進 1.2.0
 - 雑用(DEPS):K8S-IOグループを7回のアップデートで減らす
 - [dev-v3] 廃止された「NewSimpleClientset」を置き換える
 - [dev-v3] Bump Go v1.25, 'golangci-lint' v2
 - 雑事(DEPS): 1.5.0 から github.com/BurntSushi/toml に増やす 1.6.0
 - 雑事(DEPS): 1.7.29 から github.com/containerd/containerd への昇進 1.7.30
 - 修正(ロールバック): 'エラー。文字列合成の代わりにIs'
 - 修正(アンインストール):デプロイされたリリースを置き換える
 - Goの最新パッチを使い、リリースを更新すること
 - 家事(DEPS): 0.45.0 から golang.org/x/crypto へのバンプ 0.46.0
 - 雑事(DEPS): 0.31.0 から golang.org/x/text の上昇 0.32.0
 - 家事(DEPS): 0.37.0 から golang.org/x/term への昇格 0.38.0
 - 雑事(DEPS): 1.10.1 から github.com/spf13/cobra へのバンプ 1.10.2
 - 雑事(DEPS): 1.8.0 から github.com/rubenv/sql-migrate に昇格 1.8.1
 - 家事(DEPS): 0.44.0 から golang.org/x/crypto へのバンプ 0.45.0
 - 家事(DEPS):バンプ github.com/cyphar/filepath-securejoin
 - 雑事(DEPS): 0.30.0 から golang.org/x/text の上昇 0.31.0
 - 家事(DEPS): 0.43.0 から golang.org/x/crypto へのバンプ 0.44.0
 - dev-v3 'helm-latest-version' publishを削除
 - 雑事(DEPS): 0.36.0 から 0.37.0 1.7.28 golang.org/x/term にバンプ 1.7.29
 - Revert pkg/registry:TLS設定をメモリに渡すためのログインオプション
 - jsonschema: v3.18.4に合わせて未解決のURN $ref を警告し無視
 - リポジトリURLで「helm pull」untar dirチェックを修正する
 - 家事(DEPS): 0.42.0 から golang.org/x/crypto へのバンプ 0.43.0
 - 家事(DEPS): 0.12.1 から github.com/gofrs/flock に引き上げる 0.13.0
 - 雑事(DEPS): 0.29.0 から golang.org/x/text の上昇 0.30.0
 - [バックポート] 修正:get-helm-3スクリプトをhelm3-latest-version使用してください
 - pkg/registry:TLS設定をメモリに渡すためのログインオプション
 - 修正:非推奨警告
 - 家事(DEPS): 0.41.0 から golang.org/x/crypto へのバンプ 0.42.0
 - 家事(DEPS): 0.34.0 から golang.org/x/term への昇格 0.35.0
 - パニック回避:インターフェース変換:インターフェース{}はnilです
 - v3.19.0へのバンプバージョン
 - 雑事(DEPS): 1.0.7 から github.com/spf13/pflag へのバンプ 1.0.10
 - 修正:レジストリにリポジトリオージョライザーを設定してください。Client.Resolve()
 - ヌルマージの修正
 - リポジトリのフラグを追加・更新するためのタイムアウトフラグの追加
 - バージョン 3.19.5:
 - オーバーライドでサブチャート値を除去すると警告が出たバグを修正 #31118
 - --keep-history でヘルムアンインストールしても以前のデプロイリリースが停止されなかったバグを修正 #12556
 - 修正(ロールバック):エラー。弦合成の代わりに 4a19a5b(ヒッデ・ベイダル)
 - 修正(アンインストール):Supersedeがリリース7a00235(Hidde Beydals)をデプロイしました
 - 修正 null merge 578564e(ベン・フォスター)
 - バージョン 3.19.4:
 - リリース7cfb6e4(Matt Farina)でGoの最新パッチリリースを使用。
 - 雑事(DEPS): 0.12.1 から 0.13.0 59C951F(dependabot[bot])への増 github.com/gofrs/flock
 - 家事(DEPS):github.com/cyphar/filepath-securejoin D45F3F1 の増幅
 - 雑務(DEPS): 0.44.0 から 0.45.0 D459544へ golang.org/x/crypto アップ(dependabot[bot])
 - 雑事(DEPS): 0.36.0 から 0.37.0 BECD387への golang.org/x/term 上げ(dependabot[bot])
 - Chore(DePS):7つのアップデートでK8S-IOグループを削減 edb1579
 - バージョン 3.19.3:
 - golang.org/x/crypto をv0.45.0にアップ
 - バージョン 3.19.2:
 - [backport] 修正:get-helm-3スクリプトをhelm3-latest-version 8766e71(ジョージ・ジェンキンス)使用してください。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける helm、helm-bash-completion、helm-fish-completion、helm-zsh-completion パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1248093

https://bugzilla.suse.com/1261938

http://www.nessus.org/u?2fddc06c

https://www.suse.com/security/cve/CVE-2025-55199

https://www.suse.com/security/cve/CVE-2026-35206

プラグインの詳細

深刻度: Medium

ID: 312134

ファイル名: suse_SU-2026-21434-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/5/5

更新日: 2026/5/5

サポートされているセンサー: Frictionless Assessment Azure, Nessus Agent, Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Low

基本値: 3.6

現状値: 2.7

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:P

CVSS スコアのソース: CVE-2026-35206

CVSS v3

リスクファクター: Medium

基本値: 4.4

現状値: 3.9

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 4.8

Threat Score: 1.1

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:helm, p-cpe:/a:novell:suse_linux:helm-zsh-completion, p-cpe:/a:novell:suse_linux:helm-fish-completion, cpe:/o:novell:suse_linux:16, p-cpe:/a:novell:suse_linux:helm-bash-completion

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/4/30

脆弱性公開日: 2025/8/13

参照情報

CVE: CVE-2025-55199, CVE-2026-35206

SuSE: SUSE-SU-2026:21434-1