検出

openSUSE 16 セキュリティ更新 : trivy (openSUSE-SU-2026:20702-1)

high Nessus プラグイン ID 313632

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20702-1 アドバイザリで言及されています。

 trivy の変更:

 バージョン 0.70.0 に更新してください (bsc#1260193、CVE-2026-33186、bsc#1260971、CVE-2026-33747、bsc#1261052、CVE-2026-33748、bsc#1262389、CVE-2026-39984、bsc#1262893、CVE-2026-34986)。
 * release: v0.70.0 [main] (#10105)
 * chore(deps): go.opentelemetry.io/otel/sdk を 1.42.0 から 1.43.0 へ更新 (#10496)
 * chore(deps): github.com/sigstore/timestamp-authority/v2 を 2.0.3 から 2.0.6 へ更新 (#10526)
 * chore(deps): 8 つの更新を含む 1 つのディレクトリに共通グループを更新します (#10540)
 * chore(deps): 2 つの更新を含む 1 つのディレクトリに docker グループを更新します (#10538)
 * fix: GoReleaser ディスカッションで開発カテゴリを使用 (#10530)
 * chore(deps): testcontainers-go を v0.42.0 に更新します (#10531)
 * chore: CODEOWNERS を更新 (#10529)
 * chore(deps): helm.sh/helm/v3 を 3.20.1 から 3.20.2 に更新します (#10511)
 * chore(deps): github.com/hashicorp/go-getter を 1.8.5 から 1.8.6 へ更新します (#10510)
 * chore(deps): github.com/moby/buildkit を 0.27.1 から 0.28.1 に更新します (#10449)
 * ci: mkdocs-material-insiders から mkdocs-material へ移行します (#10509)
 * chore: GoReleaser から aquasecurity/homebrew-trivy タップを削除します (#10508)
 * ci: GitHub API と相互作用するワークフローのランナーを更新します (#10502)
 * ci: トークンの名前を変更し、ランナーを更新します (#10500)
 * ci: helm-charts ワークフローを介して helm チャートの公開をトリガーします (#10474)
 * ci: release-please ワークフローからルールセット更新ステップを削除します (#10499)
 * ci: 大きなランナーを使用し、release-please ワークフローで ORG_REPO_TOKEN を置き換えます (#10498)
 * ci: trivy-repo ワークフローを介して rpm/deb デプロイメントをトリガーします (#10476)
 * 修正: wazero モジュールの設定から os.Stdout を削除 (#10403)
 * chore(deps): 22 個の更新を含む 1 つのディレクトリに共通グループを更新します (#10408)
 * chore(deps): google.golang.org/grpc を 1.78.0 から 1.79.3 に更新 (#10407)
 * fix(flag): テンプレートファイル拡張子を検証 (#10296)
 * fix(sbom): レイヤー情報なしで SBOM をスキャンするときに Red Hat BuildInfo を保存します (#10378)
 * fix: Go 1.26 GOEXPERIMENT バージョン形式変更を処理します (#10351)
 * fix(python): requirements.txt の複数のバージョン指定子を処理します (#10361)
 * ci:trivy-action で Trivy バージョン更新を実行します (#10272)
 * fix(python): 依存関係のないオプションの poetry グループによる nil ポインターデリファレンス (#10359)
 * ci: ワークフローで個人のメールを github-actions[bot] で置き換えます (#10369)
 * chore: smithy epoch 解析を stdlib time.Unix で置き換えます (#10286)
 * test: purl 変更のゴールデンファイルを更新 (#10372)
 * ci: スキャン GitHub アクションワークフローに zizmor を追加 (#10322)
 * refactor: ステータスを文字列としてログ (#10285)
 * ci: リリースアーティファクトのビルド来歴証明を追加します (#10316)
 * fix(sbom): SPDX 非ライブラリパッケージの licenseDeclared/licenseConcluded に対する NOASSERTION を追加 (#10368)
 * fix(report): git リポジトリをスキャンする際に正しい sarif ROOTPATH uri を設定します (#10366)
 * perf(plugin): filepath.Walk を filepath.WalkDir に置き換えることでディレクトリトラバーサルを最適化します (#10325)
 * docs: 変更ログおよび図での誤字を修正 (#10320)
 * chore: ロードマップ wf を削除 (#10295)
 * ci(helm): Trivy Helm Chart 0.21.3 に対して、Trivy バージョンを 0.69.3 に更新します (#10310)
 * fix(cyclonedx): CVSS v4 脆弱性格付けを含めます (#10313)
 * fix: azure および mariner detector で検出された脆弱性フィールド (#10275)
 * ci: persist-credentials: false をチェックアウト手順に追加 (#10306)
 * ci(helm): Trivy Helm Chart 0.21.2 に対して、Trivy バージョンを 0.69.2 に更新します (#10270)
 * chore(deps): 8 つの更新を含む 1 つのディレクトリに共通グループを更新します (#10248)
 * chore(deps): go.opentelemetry.io/otel/sdk を 1.39.0 から 1.40.0 へ更新 (#10257)
 * chore(deps): 6 つの更新を含む 1 つのディレクトリに aws グループを更新します (#10249)
 * chore(deps): github.com/cloudflare/circl を 1.6.1 から 1.6.3 に更新します (#10241)
 * ci: apidiff ワークフローを削除 (#10259)
 * chore(deps): 1 つのディレクトリにまたがる docker グループで、github.com/docker/cli を 29.1.4+incompatible から 29.2.1+incompatible に更新します (#10221)
 * ci: cache-test-assets で golangci-lint を v2.10 に更新 (#10243)
 * feat(java): Maven settings.xml からプロキシ設定のサポートを追加します (#10187)
 * chore(deps): 11 個の更新を含む 3 つのディレクトリに github-actions グループを更新します (#10242)
 * feat(python): pylock.toml サポートを追加します (#10137)
 * chore: SPDX ライセンス ID と例外を「v3.28.0」に更新します (#10233)
 * docs: 誤字を修正し、安全でない HTTP リンクを HTTPS にアップグレードします (#10219)
 * chore: golangci-lint を v2.10.0 に更新します (#10223)
 * feat(misconf): azurerm_network_interface_security_group_association のサポート (#10215)
 * ci: 統合テストのために Docker エンジンを v29 に固定します (#10232)
 * feat(go): -trimpath で構築されたバイナリに対して、ELF シンボルテーブルからバージョンを検出します (#10197)
 * docs: プライベートレジストリのドキュメントを GCR から GAR に移行します (#10208)
 * chore(deps): 24 個の更新を含む 1 つのディレクトリに共通グループを更新します (#10206)
 * chore(deps): Docker クライアント SDK を v29 に更新します (#10202)
 * test: Docker API v0.29.0+ 互換性のための Docker エンジン統合テストを更新します (#10199)
 * fix(misconf): カスタム注釈フィールドが空の場合は初期化 (#10123)
 * feat(ubuntu): 25.10 の EOL データを追加します (#10181)
 * docs: Python パッケージマネージャーの不適切なカウントを修正します (#10175)
 * chore(deps): github.com/go-git/go-git/v5 を 5.16.4 から 5.16.5 に更新します (#10179)
 * feat(misconf): resource_id による Azure リソースの解決 (#10173)
 * ci(helm): Trivy Helm Chart 0.21.1 に対して、Trivy バージョンを 0.69.1 に更新します (#10155)
 * refactor: ServiceOption から未使用の Insecure フィールドを削除 (#10113)
 * refactor: detect.go における初期化の複雑さを軽減 (#10163)
 * feat(misconf): ARM k8s クラスターを適合させます (#9696) (#10125)
 * docs:クライアント/サーバードキュメントのバージョンエンドポイント例を更新 (#10151)
 * feat(vuln): 共通の検出機能でサードパーティパッケージをスキップします (#10129)
 * ci: Go セットアップ用に複合アクションを追加 (#10146)
 * fix(misconf): .trivyignore から結果をフィルタリングする際にチェックエイリアスを適用します (#10112)
 * docs(terraform): データソースと計算リソース属性の制限を追加します (#10128)
 * fix: PhotonOS フィード URL を更新します (#10122)
 * feat(server): クライアント/サーバーモード用の JSON 出力にサーバーのバージョン情報を含めます (#10075)
 * chore(deps): alpine:3.23.3 および go-1.25.6 に更新して CVE を修正します (#10107)
 * refactor: スキャナーエラー制限とコンパイラ制限を統一 (#10106)
 * ci(helm): Trivy Helm Chart 0.21.0 に対して、Trivy バージョンを 0.69.0 に更新します (#10103)
 * fix(java): 上書き除外を無効にします (#10088)
 * refactor(rust): cargo analyzer テストデータに txtar 形式を使用します (#10104)
 * feat(python): pylock.toml (PEP 751) 解析を追加します (#9632)
 * chore(deps): 6 つの更新を含む 1 つのディレクトリに aws グループを更新します (#10068)
 * fix(server): /version エンドポイントから JavaDB および CheckBundle を除外します (#10100)

 - バージョン 0.69.3 (CVE-2026-25934、bsc#1258094) に更新してください:
 * release: v0.69.3 [release/v0.69] (#10293)
 * fix(deps): github.com/go-git/go-git/v5 を 5.16.4 から 5.16.5 に更新します [backport: release/v0.69] (#10291)
 * release: v0.69.2 [release/v0.69] (#10266)
 * fix(deps): go.opentelemetry.io/otel/sdk を 1.39.0 から 1.40.0 へ更新 [backport: release/v0.69] (#10267)
 * fix(deps): github.com/cloudflare/circl を 1.6.1 から 1.6.3 に更新します [backport: release/v0.69] (#10264)
 * ci: apidiff ワークフローを削除
 * release: v0.69.1 [release/v0.69] (#10145)
 * ci: Go セットアップ用に複合アクションを追加 [backport: release/v0.69] (#10150)
 * fix(misconf): .trivyignore から結果をフィルタリングする際にチェックエイリアスを適用します [backport: release/v0.69] (#10143)
 * chore(deps): alpine:3.23.3 および go-1.25.6 に更新して CVE を修正します [backport: release/v0.69] (#10135)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける trivy パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1258094

https://bugzilla.suse.com/1258513

https://bugzilla.suse.com/1260193

https://bugzilla.suse.com/1260971

https://bugzilla.suse.com/1261052

https://bugzilla.suse.com/1262389

https://bugzilla.suse.com/1262893

https://www.suse.com/security/cve/CVE-2025-69725

https://www.suse.com/security/cve/CVE-2026-25934

https://www.suse.com/security/cve/CVE-2026-33186

https://www.suse.com/security/cve/CVE-2026-33747

https://www.suse.com/security/cve/CVE-2026-33748

https://www.suse.com/security/cve/CVE-2026-34986

https://www.suse.com/security/cve/CVE-2026-39984

プラグインの詳細

深刻度: High

ID: 313632

ファイル名: openSUSE-2026-20702-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/5/10

更新日: 2026/5/10

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-33747

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: High

Base Score: 8.2

Threat Score: 6.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2026-33748

脆弱性情報

CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:trivy

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/5/6

脆弱性公開日: 2026/2/9

参照情報

CVE: CVE-2025-69725, CVE-2026-25934, CVE-2026-33186, CVE-2026-33747, CVE-2026-33748, CVE-2026-34986, CVE-2026-39984