検出

openSUSE 16 セキュリティ更新:build、product-composer(openSUSE-SU-2026:20676-1)

medium Nessus プラグイン ID 313694

Language:

概要

リモートの openSUSE ホストに、セキュリティ更新プログラムがありません。

説明

リモートのopenSUSE 16ホストには、openSUSE- SU-2026:20676-1アドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

 ビルドの変更:

 - 新たな IgnoreRebuild 構成をサポートします。

 - build-recipe-kiwi:

 * oci コンテナのサポートを追加します
 * コンテナイメージを不必要に圧縮することを避けます
 * ビルド結果ファイル名に基づいてコンテナイメージを検出します

 - メインパッケージのサマリーおよび説明を使用するように queryrecipe を修正

 - config:slfo-main ビルド構成を追加します
 - bash 4 では不要な内側の引用符をドロップし、bash 3 では区切りします
 - build:ccache の場合、テスト後 -e も -L を受け入れます

 - コンテナ:

 * microdnf パッケージマネージャーサポートを追加します
 * container-timestamp ビルドオプションの実験的サポートを追加します

 - sbom:

 * v1 intoto データの作成を許可
 * spdx:ルートパッケージに OPERATING-SYSTEM パッケージを接続
 * 製品の vcs と disturl を転送します

 - signdummy での --cms-nocerts と --cms-keyid をサポートします
 - コンテナ内部の chroot ビルドをサポートします
 - RunService ツールにより、モードを指定できます。現在は、プレーンな git ソースでも使用できます
 - cpio 作成の --mtime オプションのサポート
 - generate_sbom:

 * unzck 圧縮 repomd ファイルもサポート
 * ディレクトリが欠如している場合 --product 失敗
 * zstd 圧縮 repomd データをサポート

 - build-vm-lxc:lxc >= 5 をサポートします
 - vc:NIS を使用していない場合の迷惑なエラーメッセージを非表示にします

 - leap-16.0 および leap-16.1 ビルド構成を追加しました。
 (現在は sl16.0 という名前ではなく、git ブランチと同じ文字列を使用)

 - signdummy に cmssign サポートを実装します
 - pbuild:修正されたコミットを含む git 資産を不変としてマークします
 - ムコシ
 * 古いパラメーターを渡す前に、それらがサポートされているかどうかをチェックします
 * 古い bash バージョンをサポート
 - PE magic で始まる小さなファイルでクラッシュしません

 - 強化export_debian_orig_from_git(CVE-2024-22038、 boo#1230469)

 product-composer の変更:

 バージョン0.9.6への更新:

 * rpm ヘッダーの読み取りを高速化します
 * 出力行をフラッシュして、OBS で正しいタイムスタンプを取得します

 バージョン0.9.5への更新:

 * OBS でステップごとの使用時間を追跡するために、もう少し冗長にします
 * エポックとバージョン比較を行う際のクラッシュを修正

 バージョン0.9.4への更新:

 * すべてのバイナリリビジョンを使用せずに updateinfo メタデータを追加しようとすると、エラーが発生します。
 * vcs および disturl データを generate_sbom に引き渡します。
 (このため、最新のビルドパッケージが必要です)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1230469

https://www.suse.com/security/cve/CVE-2024-22038

プラグインの詳細

深刻度: Medium

ID: 313694

ファイル名: openSUSE-2026-20676-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/5/10

更新日: 2026/5/10

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.5

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:C/A:C

CVSS スコアのソース: CVE-2024-22038

CVSS v3

リスクファクター: High

基本値: 7.3

現状値: 6.4

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.8

Threat Score: 4.4

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N

脆弱性情報

CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:build-initvm-powerpc64le, p-cpe:/a:novell:opensuse:build, p-cpe:/a:novell:opensuse:build-initvm-x86_64, p-cpe:/a:novell:opensuse:build-initvm-aarch64, p-cpe:/a:novell:opensuse:build-mkdrpms, p-cpe:/a:novell:opensuse:product-composer, p-cpe:/a:novell:opensuse:build-mkbaselibs, p-cpe:/a:novell:opensuse:build-initvm-s390x

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/5/5

脆弱性公開日: 2024/11/28

参照情報

CVE: CVE-2024-22038