openSUSE 16 セキュリティ更新:log4cxx(openSUSE-SU-2026:20705-1)

medium Nessus プラグイン ID 313699

Language:

概要

リモートの openSUSE ホストに、セキュリティ更新プログラムがありません。

説明

リモートのopenSUSE 16ホストには、openSUSE- SU-2026:20705-1アドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

log4xxx での変更:

- 1.7.0 への更新(bsc#1261994、 CVE-2026-40023):
* ASCII 以外の文字が JSON 出力で不適切にエンコードされています [#615]
* XML 出力に、XML 1.0 仕様で許可されていない文字が含まれる可能性があります
* 再帰参照を伴う XML 構成ファイルがプログラムの終了を引き起こしました [#605]
* 構成変更中に起こり得る未定義の動作
* ログに記録された値の計算がログも記録する場合のメッセージ損失
* ODBCAppender で準備されたステートメント値のバッファに、不正確な有効期間がありました [#581]

- 1.6.0 への更新:
* 構成 ${varname} の値は、構成ファイルをロードする前にプログラムによって設定できます(com/foo/config4.cpp を参照)[#520]
* 現在の実行可能ファイルのファイル名とそのコンポーネントは、構成ファイルおよび LOG4CXX_CONFIGURATION 環境変数で使用できます(log4cxx::spi::Configurator::p roperties を参照)。
[#520]
* コンソール出力(Log4cxx 内部ロギングおよび BasicConfigurator)は、デフォルトでメッセージレベルごとに色を使用します [#529]
* AsyncAppender のバックグラウンドスレッドで使用されるまでバイナリからテキストへの変換を延期する新しいロギングマクロ
* 構成ファイルを使用して AsyncAppender をロガーに添付する簡略化された方法 [#550]

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける liblog4cxx-devel および/または liblog4cxx15 のパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1261994

https://www.suse.com/security/cve/CVE-2026-40023

プラグインの詳細

深刻度: Medium

ID: 313699

ファイル名: openSUSE-2026-20705-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2026/5/10

更新日: 2026/5/10

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus