検出

openSUSE 16 セキュリティ更新:distribution(openSUSE-SU-2026:20686-1)

critical Nessus プラグイン ID 313696

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20686-1 アドバイザリで言及されています。

 ディストリビューション用のこの更新では、次の問題を修正しています

 セキュリティ問題:

 - CVE-2026-33186:google.golang.org/grpc:HTTP/2 の不適切な検証による承認バイパス:
 path 擬似ヘッダー(bsc#1260283)。
 - CVE-2026-33540:認証レルム URL の不適切な検証による情報漏洩(bsc#1261793)。
 - CVE-2026-34986:github.com/go-jose/go-jose/v4:暗号化された鍵がない細工された JWE 入力が、サービス拒否を引き起こす可能性があります(bsc#1262951)。
 - CVE-2026-35172:コンテンツ削除後の古い参照による情報漏洩(bsc#1262096)。

 非セキュリティ問題:

 - distribution-registry.tmpfiles を追加します(jsc#PED-14747)。
 - ディストリビューションは、go1.24 EOL に対してビルドします(bsc#1259718)。

 配布に関する変更:

 - 3.1.0 に更新してください

 * タグページネーションのサポートを追加します
 * Azure ストレージプロバイダーのデフォルトの認証情報を修正
 * go1.23 および go1.24 のサポートをドロップし、go1.25 に更新します
 * 変更の完全なリストについては、下記の変更ログ全体を参照してください。
 * docs:新しいイメージタグ v3 を参照するために更新します
 * Azure ストレージプロバイダーのdefault_credentialsを修正します
 * chore:関数コメントを関数名と一致させます
 * build(deps):1 つのディレクトリにまたがる go_modules グループで、golang.org/x/net を 0.37.0 から 0.38.0 に更新します
 * 修正:Ed25519 公開鍵の JWK 拇印を実装します
 * 修正:validation.indexes 構成ドキュメントからのコードブロックに注釈をつける
 * feat:redis 構成を抽出して構造体を分離します
 * 修正:追加しない書き込みに一時ファイルを使用することで #4478 される問題を解決します
 * build(deps):ossf/scorecard-action を 2.4.1 から へ更新します 2.4.2
 * docs:「OTEL_TRACES_EXPORTER」に関する注記を追加
 * 修正:デフォルトで OTEL トレースを無効に設定
 * docs の OTEL トレースリンクに対するマークダウン構文を修正します
 * UUID を UUIDv7 に切り替えます
 * リファクタリング:マップ反復をマップに置き換えます。コピー/クローン
 * s3-aws:386 のビルドを修正します
 * docs:クイックスタート docs に OpenTelemetry リンクを追加
 * S3 ドライバーのログレベルパラメーターを修正します
 * TestSchedule テストのデータ競合を修正しました
 * #4683 を修正 - ecdsa キーの拇印に Gx/Gy ではなく X/Y を使用
 * build(deps):アクション/チェックアウトを 4 から 5 に更新します
 * Docker Hub フェアユースポリシーへの壊れたリンクを修正します
 * 修正(レジストリ/ハンドラー/アプリ):redis CA
 * build(deps):アクション/ラベラーを 5 から 6 へ更新します
 * build(deps):actions/setup-go を 5 から 6 へ更新します
 * build(deps):actions/upload-pages-artifact を 3 から 4 へ更新します
 * build(deps):ossf/scorecard-action を 2.4.2 から へ更新します 2.4.3
 * build(deps):github/codeql-action を 3.26.5 から へ更新します 4.30.7
 * build(deps):github/codeql-action を 4.30.7 から へ更新します 4.30.8
 * chore:labeler:内部/クライアント/** 用エリア/クライアントマッピングを追加
 * client:Accept ヘッダーを Exists() HEAD に追加
 * feat(registry):緩やかなシャットダウンテストを堅牢にします
 * fix(registry):Upstream チャレンジに対するログフォーマットを修正します
 * build(deps):github/codeql-action を 4.30.8 から へ更新します 4.30.9
 * build(deps):github/codeql-action を 4.30.9 から へ更新します 4.31.3
 * リファクタリング:for ループの冗長変数宣言を削除
 * redis 削除ポリシーに関して -> 必須
 * build(deps):アクション/チェックアウトを 5 から 6 へ更新します
 * 間違った警告ヒント
 * オブジェクトをリストする際の戻りエラーを追加します
 * build(deps):アクション/チェックアウトを 5.0.1 から 6.0.0
 * build(deps):peter-evans/dockerhub-description を 4 から 5 へ更新します
 * 修正:マニフェスト HEAD リクエストのログ回帰
 * ブール解析ユーティリティを追加
 * S3 に対して「useFIPSEndpoint」を漏洩します
 * Cloudfleet Container Registry を採用者に追加
 * fix(ci):破損した Azure e2e ストレージテストを修正
 * バグ:メディアタイプが空のときにアクションと機能するように通知フィルタリングを修正します
 * build(deps):アクション/チェックアウトを 6.0.0 から 6.0.1
 * build(deps):アクション/アップロードアーティファクトを 4.6.2 から 6.0.0
 * build(deps):github/codeql-action を 4.31.3 から へ更新します 4.31.10
 * build(deps):github/codeql-action を 4.31.10 から へ更新します 4.32.2
 * build(deps):アクション/チェックアウトを 6.0.1 から 6.0.2
 * golangci-lint を v2.9 に更新し、linting の問題を修正します
 * go1.25.7、alpine 3.23、xx v1.9.0 に更新してください
 * ベンダー:github.com/sirupsen/logrus v1.9.4
 * ベンダー:golang.org/x/* 依存関係の更新
 * ベンダー:github.com/docker/docker-credential-helpers v0.9.5
 * ベンダー:github.com/opencontainers/image-spec v1.1.1
 * ベンダー:github.com/klauspost/compress v1.18.4
 * 修正:ハードコードされたサービス名よりも otel 変数を優先
 * ベンダー:github.com/spf13/cobra v1.10.2
 * ベンダー:github.com/bshuster-repo/logrus-logstash-hook v1.1.0
 * 修正:parent dir を同期して、データが確実に保存されるようにします
 * コードを近代化
 * ベンダー:github.com/docker/go-events 605354379745
 * ベンダー:github.com/go-jose/go-jose/v4 v4.1.3
 * build(deps):github/codeql-action を 4.32.2 から へ更新します 4.32.5
 * build(deps):docker/login-action を 3 から 4 へ更新します
 * build(deps):アクション/アップロードアーティファクトを 6.0.0 から 7.0.0
 * build(deps):docker/setup-buildx-action を 3 から 4 へ更新します
 * build(deps):docker/bake-action を 6 から 7 へ更新します
 * build(deps):docker/metadata-action を 5 から 6 へ更新します
 * 修正:「proxyingRegistry.Close()」の nil-check スケジューラ
 * 修正:「putContent」での最初の「書き込み」呼び出しの前に GCS ライターで MD5 を設定します
 * docs:プルスルーキャッシュは複数回リモートからプルします
 * regionendpoint オプション s3.md 更新します
 * chore(deps):Go を CI ワークフローおよび go.mod の最新 1.25 に更新します
 * 修正:Ed25519 JWK 拇印「kty」を「OTP」から「OKP」へ修正します
 * vacuum.go を更新してください
 * オプション:リフェクタータグリストのページネーションのサポート(ステージ 1)
 * 環境変数を構成で YAML インライン構造体に正しく一致させます
 * クライアント証明書なしでRedis TLSを有効にする
 * build(deps):actions/deploy-pages を 4 から 5 に更新します
 * build(deps):github/codeql-action を 4.32.5 から へ更新します 4.34.1
 * 修正(レジストリ/プロキシ):書き込みバッファのフラッシュ時に分離されたコンテキストを使用します
 * ci:アクションを固定し、zizmor auto-fixes を適用します
 * build(deps):actions/setup-go を 6.3.0 から 6.4.0
 * build(deps):1 つのディレクトリにまたがる go_modules グループで、github.com/go-jose/go-jose/v4 を 4.1.3 から 4.1.4 に更新します
 * chore(app):部分的な TLS 構成が Redis で使用される場合に警告します
 * feat(registry):htpasswd 実装での認証チェックを強化します
 * Opt:リファクタリングタグリストのページネーションのサポート
 * build(deps):codecov/codecov-action を 5.5.4 から へ更新します 6.0.0
 * build(deps):アクション/構成ページを 5.0.0 から 6.0.0
 * fix(vendor):修正がベンダー検証を破損させました
 * chore(ci):v3.1 リリースの準備
 - バージョン 3.1.0 への更新:
 * 修正(ベンダー):修正が vendpor 検証を破損させました
 * Redis repo スコープの blob 記述子失効を修正します
 * proxy:ベアラーレルムを Upstream 信頼境界にバインドします
 - 前回の変更後にディレクトリ所有権を復元
 - 変更不可モードの場合に、systemd tmpfiles dir 内の構成ファイルを移動します

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける distribution-registry パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1259718

https://bugzilla.suse.com/1260283

https://bugzilla.suse.com/1261793

https://bugzilla.suse.com/1262096

https://bugzilla.suse.com/1262951

https://www.suse.com/security/cve/CVE-2026-33186

https://www.suse.com/security/cve/CVE-2026-33540

https://www.suse.com/security/cve/CVE-2026-34986

https://www.suse.com/security/cve/CVE-2026-35172

プラグインの詳細

深刻度: Critical

ID: 313696

ファイル名: openSUSE-2026-20686-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/5/10

更新日: 2026/5/10

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

基本値: 9.4

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS スコアのソース: CVE-2026-33186

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 8.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:distribution-registry

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/5/6

脆弱性公開日: 2026/3/18

参照情報

CVE: CVE-2026-33186, CVE-2026-33540, CVE-2026-34986, CVE-2026-35172