検出

SUSE SLES12 セキュリティ更新: vim (SUSE-SU-2026:1764-1)

high Nessus プラグイン ID 313684

Language:

概要

リモートの SUSE ホストにセキュリティ更新がありません。

説明

リモートのSUSE Linux SLES12 ホストには、SUSE- SU-2026:1764-1アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 vim用のこの更新プログラムでは、以下の問題が修正されています:

 セキュリティ修正:

 - CVE-2026-39881:NetBeans インターフェイスのコマンドインジェクションにより、任意のファイルの読み取りと書き込みが引き起こされる可能性があります(bsc#1261833)。

 その他の修正:

 - 9.2.0398 に更新してください。
 * 9.2.0398:MS-Windows:strptime() サポートの欠落
 * 9.2.0397:tabpanel:ダブルクリックすると新しいタブが開きます
 * 9.2.0396:テスト:macOS でTest_error_callback_terminalが不安定です
 * 9.2.0395:tests:Test_backupskip() が $HOME
 * 9.2.0394:xxd:LONG_MAX より大きいオフセットが負数として印刷されます
 * 9.2.0393:MS-Windows:XPM サポートでのリンクエラー UCRT64
 * 9.2.0392:テスト:一部のテストは不安定です
 * 9.2.0391:tests:test_vim9_cmd のコメントが構文のハイライトを破損します
 * 9.2.0390:ファイルタイプ:一部の Beancount ファイルが認識されません
 * 9.2.0389:DECRQM が依然として Apple Terminal.app に不適切な「pp」を残します
 * 9.2.0388:update_topline() の奇妙なインデント
 * 9.2.0387:DECRQM リクエストが端末に浮遊文字を残す可能性があります
 * 9.2.0386:tabpanel におけるスクロール/スクロールバーのサポートはありません
 * 9.2.0385:「ze」および大きな「sidescrolloff」による整数オーバーフロー
 * 9.2.0384: <Cmd> カーソルの移動が元に戻す操作を中断した後の古い Insstart
 * 9.2.0383:[security]:runtime(netrw):sftp: および file: URL を通じたシェルインジェクション
 * 9.2.0382:Wayland:フォーカス盗み取りが機能していません
 * 9.2.0381:vim9:exec_instructions() に check_secure() がありません
 * 9.2.0380:完了:完了コードにあるいくつかの問題
 * 9.2.0379:gui.color_approx は決して使用されません
 * 9.2.0378:win_T 構造体で bool 型として int を使用
 * 9.2.0377:gui_T 構造体で bool 型として int を使用
 * 9.2.0376:Vim9:dead ブランチでコンパイルされた elseif 条件
 * 9.2.0375:prop_find() が開始行に virt テキストを見つけません
 * 9.2.0374:c_CTRL-{G,T} はオフセットを処理しません
 * 9.2.0373:Ctrl-R マッピングが完了中にトリガーされません
 * 9.2.0372:pum:マルチバイトテキストおよび不透明度のレンダリング問題
 * 9.2.0371:ファイルタイプ:ghostty 構成ファイルが認識されません
 * 9.2.0370:リテラルstring_T割り当てを伴うコードの重複
 * 9.2.0369:STRING_INIT マクロの複数の定義
 * 9.2.0368:dicts に文字列を追加する際の過剰な strlen() 呼び出し
 * 9.2.0367:runtime(netrw):~ メモは MS Windows で拡張されました
 * 9.2.0366:pum:所定の位置の pum を更新する際のちらつき
 * 9.2.0365:int を bool 値として使用
 * 9.2.0364:テスト:test_smoothscroll_textoff_showbreak() が失敗する
 * 9.2.0363:Vim9:スクリプトローカル関数によってシャドー化された変数
 * 9.2.0362:smoothscroll と小さなウィンドウによるゼロ除算
 * 9.2.0361:テスト:IP による ch_listen() のテストはありません
 * 9.2.0360:タブパネルでのマウスクリックを処理できません
 * 9.2.0359:winbar の不適切な VertSplitNC ハイライト
 * 9.2.0358:runtime(vimball):依然としてパストラバーサル攻撃が起こり得ます
 * 9.2.0357:[セキュリティ]:タグファイルのバックティックを介したコマンドインジェクション
 * 9.2.0356:ファイルの最後に「スクロールオフ」コンテキスト行を適用できない
 * 9.2.0355:runtime(tar):tar#Extract() にパストラバーサルチェックがありません
 * 9.2.0354:ファイルタイプ:すべての Bitbake インクルードファイルが認識されるわけではありません
 * 9.2.0353:register.c におけるメモリ不足チェック
 * 9.2.0352:左のウィンドウの「winhighlight」が右のウィンドウにブレンドされます
 * 9.2.0351:repeat_string() を改善できます
 * 9.2.0350:modelines を有効にすることにリスクがあります
 * 9.2.0349:現在でないウィンドウのセパレーターのスタイル設定ができません
 * 9.2.0348:statusline like オプションを設定する際のバッファアンダーランの可能性
 * 9.2.0347:Vim9:スクリプトローカル変数が見つからない
 * 9.2.0346:コマンドラインウィンドウに入る際のカーソル位置の誤り
 * 9.2.0345:「autocomplete」による誤った自動フォーマット
 * 9.2.0344:channel:ch_listen() はネットワークインターフェイスにバインドできます
 * 9.2.0343:テスト:低速システムでtest_clientserver失敗する場合があります
 * 9.2.0342:テスト:test_excmd.vim がスワップファイルを残します
 * 9.2.0341:一部の関数はサンドボックスから実行できます
 * 9.2.0340:pum_redraw() がちらつきを引き起こす可能性があります
 * 9.2.0339:regexp:nfa_regmatch() の割り当てと解放の頻度が高すぎる
 * 9.2.0338:タブラインでマウスクリックを処理できない
 * 9.2.0337:ビッグエンディアン 32 ビットプラットフォームで壊れているインデックスのリスト作成
 * 9.2.0336:libvterm:ターミナルリフローのサポートはありません
 * 9.2.0335:json_encode() は再帰アルゴリズムを使用します
 * 9.2.0334:GTK:ウィンドウジオメトリがクライアント側の装飾で縮小されます
 * 9.2.0333:ファイルタイプ:PklProject ファイルが認識されません
 * 9.2.0332:ポップアップ:依然として不透明度のレンダリングに関する問題
 * 9.2.0331:spellfile:スペルファイル生成でのスタックバッファオーバーフロー
 * 9.2.0330:テスト:tar と zip のプラグインテストの一部のパターンが不十分厳密です
 * 9.2.0329:テスト:test_indent.vim がスワップファイルを残します
 * 9.2.0328:ステータスラインでマウスクリックを処理できません
 * 9.2.0327:ファイルタイプ:UV スクリプトが検出されません
 * 9.2.0326:runtime(tar):ただしドット付きパス
 * 9.2.0325:runtime(tar):zstd 処理におけるバグ
 * 9.2.0324:0x9b バイトが <Cmd> マッピングでエスケープ解除されていません
 * 9.2.0323:ファイルタイプ:buf.lock ファイルが認識されません
 * 9.2.0322:テスト:test_popupwinが失敗する
 * 9.2.0321:MS-Windows:OpenType フォントサポートなし
 * 9.2.0320:テキストプロパティのいくつかのバグ
 * 9.2.0319:ポップアップ:部分的に透明なポップアップによるレンダリングの問題
 * 9.2.0318:ポップアップメニューの不透明度を構成できません
 * 9.2.0317:リスナー関数が安全なフラグをチェックしません
 * 9.2.0316:[security]:defineAnnoType を介した netbeans インターフェイスにおけるコマンドインジェクション
 * 9.2.0315:境界チェックの欠落
 * 9.2.0314:channel:すべてのネットワークインターフェイスにバインドできます
 * 9.2.0313:コールバックチャネルが GUI に登録されていません
 * 9.2.0312:C タイプの名前は翻訳可能としてマークされます
 * 9.2.0311:テキストプロパティのある再描画ロジックを改善できます
 * 9.2.0310:vim_strchr() および find_term_bykeys() での不要な作業
 * 9.2.0309:may_get_cmd_block() へのメモリ不足チェックの欠落
 * 9.2.0308:エラーメッセージ E1547 が間違っています
 * 9.2.0307:戻り値の型とドキュメントの間の不一致の増加
 * 9.2.0306:runtime(tar):LZ4 サポートに関するいくつかの問題
 * 9.2.0305:戻り値の型とドキュメントの不一致
 * 9.2.0304:テスト: 9.2.0285 のテストは、修正なしでは常に失敗しません
 * 9.2.0303:テスト:zip プラグインテストは警告メッセージを適切にチェックしません
 * 9.2.0302:runtime(netrw):二重エスケープスペースのデコーディングをRFC2396
 * 9.2.0301:Vim9:void 関数の戻り値と一貫性がありません
 * 9.2.0300:vimball プラグインには愛が必要です
 * 9.2.0299:runtime(zip):絶対パスを使用して書き込みを行う場合があります
 * 9.2.0298:一部の内部変数は変更されません
 * 9.2.0297:libvterm:CSI オーバーフローコードを改善できます
 * 9.2.0296:drawline.c での冗長で不適切な整数ポインターキャスト
 * 9.2.0295:「showcmd」が「linebreak」で間違った Visual ブロックサイズを表示します
 * 9.2.0294:if_lua:lua インターフェイスは lua で動作しません 5.5
 * 9.2.0293::p ackadd がヒープバッファオーバーフローを引き起こす可能性があります
 * 9.2.0292:void 値でメソッド呼び出しを使用する際の内部エラーE340
 * 9.2.0291:strlen() 呼び出しが多すぎます
 * 9.2.0290:Amiga:AmigaOS のサポートはありません 3.x
 * 9.2.0289:「改行」により、ビジュアルブロックが不適切にハイライトされる可能性があります
 * 9.2.0288:libvterm:長い CSI 引数を解析する符号付き整数オーバーフロー
 * 9.2.0287:ファイルタイプ:すべての ObjectScript ルーチンが認識されるわけではありません
 * 9.2.0286:alloc() での不必要な(int)キャストのまだ
 * 9.2.0285::syn sync groupHere が行末を超える可能性があります
 * 9.2.0284:tabpanel:tabpanel 式が変数の行カウントを返すときのクラッシュ
 * 9.2.0283:alloc() 呼び出し前の不要な(int)キャスト
 * 9.2.0282:テスト:Test_viminfo_len_overflow() が失敗します
 * 9.2.0281:テスト:Test_netrw_FileUrlEdit.. が Windows で失敗します

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける gvim、vim、vim-data や vim-data-common パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1261833

https://lists.suse.com/pipermail/sle-updates/2026-May/046318.html

https://www.suse.com/security/cve/CVE-2026-39881

プラグインの詳細

深刻度: High

ID: 313684

ファイル名: suse_SU-2026-1764-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/5/10

更新日: 2026/5/10

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-39881

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:novell:suse_linux:12, p-cpe:/a:novell:suse_linux:vim-data, p-cpe:/a:novell:suse_linux:gvim, p-cpe:/a:novell:suse_linux:vim, p-cpe:/a:novell:suse_linux:vim-data-common

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/5/8

脆弱性公開日: 2026/4/8

参照情報

CVE: CVE-2026-39881

IAVA: 2026-A-0325-S

SuSE: SUSE-SU-2026:1764-1