openSUSE 16 セキュリティ更新: java-25-openjdk (openSUSE-SU-2026:20672-1)
high Nessus プラグイン ID 313706
Language:
概要
リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。説明
リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20672-1 アドバイザリで言及されています。Upstream タグ jdk-25.0.3+9 に更新します (2026 年 4 月 CPU)。
セキュリティの問題を修正:
- CVE-2026-22007:セキュリティ:Java が実行されているインフラストラクチャにログオンしている認証されていない攻撃者が、アクセス可能なデータのサブセット(bsc#1262490)への認証されていない読み取りアクセスを取得する可能性があります。
- CVE-2026-22008:ライブラリ:複数のプロトコルを経由したネットワークアクセス権を持つ認証されていない攻撃者が、データに対して権限なく更新、挿入、削除のアクセス権を取得する可能性があります(bsc#1262493)。
- CVE-2026-22013:JGSS:複数のプロトコルを介してネットワークにアクセスできる認証されていない攻撃者が、重要なデータへの不正アクセスを取得する可能性があります(bsc#1262494)。
- CVE-2026-22016:JAXP:複数のプロトコルを経由したネットワークアクセス権を持つ認証されていない攻撃者が、権限なく重要なデータにアクセスする可能性があります(bsc#1262495)。
- CVE-2026-22018:ライブラリ:複数のプロトコルを経由したネットワークアクセスを持つ認証されていない攻撃者が、部分的サービス拒否(bsc#1262496)を引き起こす可能性があります。
- CVE-2026-22021:JSSE:HTTPS 経由でネットワークにアクセスできる認証されていない攻撃者が、部分的サービス拒否(bsc#1262497)を引き起こす可能性があります。
- CVE-2026-23865:freetype2:「tt_var_load_item_variation_store」関数の整数オーバーフローにより、OpenType 変数 fonts(bsc#1259118) の HVAR/VVAR/MVAR テーブルを解析する際に、領域外読み取りの可能性があります。
- CVE-2026-34268:セキュリティ:Java が実行されているインフラストラクチャにログオンしている認証されていない攻撃者が、データのサブセット(bsc#1262500)への権限のない読み取りアクセスを取得する可能性があります。
- CVE-2026-34282:ネットワーキング:認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、ハングを引き起こしたり、頻繁にクラッシュを繰り返させたりする可能性があります(bsc#1262501)。
その他の更新およびバグ修正:
- timezone-java および tzdata-java を提供します(jsc#PED-15898)。
- https://github.com/rh-openjdk/jdk/tree/fips-25u 年に RedHat によって開発された FIPS パッチの新しいロジックに移行します。
- /nss-native-fips-key-import-export-adapter のソースを追加します。* このネイティブライブラリは、FIPS モードで NSS PKCS #11 ソフトウェアトークン(libsoftokn3.so)を使用するための OpenJDK 用のアダプターです。
- gcc 名のオーバーライドを許可します。
- 欠如しているシステム暗号ポリシーを致命的なものにしません。
- さまざまな fips および非 fips シナリオ用の構成ファイルをビルド中に生成する create-crypto-properties-files.bash を追加します。
- 該当する場合は、TestSecurityProperties.javaを追加してシステムセキュリティプロパティのロードをテストします。
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1259118
https://bugzilla.suse.com/1262490
https://bugzilla.suse.com/1262493
https://bugzilla.suse.com/1262494
https://bugzilla.suse.com/1262495
https://bugzilla.suse.com/1262496
https://bugzilla.suse.com/1262497
https://bugzilla.suse.com/1262500
https://bugzilla.suse.com/1262501
https://www.suse.com/security/cve/CVE-2026-22007
https://www.suse.com/security/cve/CVE-2026-22008
https://www.suse.com/security/cve/CVE-2026-22013
https://www.suse.com/security/cve/CVE-2026-22016
https://www.suse.com/security/cve/CVE-2026-22018
https://www.suse.com/security/cve/CVE-2026-22021
https://www.suse.com/security/cve/CVE-2026-23865
プラグインの詳細
深刻度: High
ID: 313706
ファイル名: openSUSE-2026-20672-1.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2026/5/10
更新日: 2026/5/10
サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.1
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS スコアのソース: CVE-2026-22016
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:java-25-openjdk-demo, p-cpe:/a:novell:opensuse:java-25-openjdk-jmods, p-cpe:/a:novell:opensuse:java-25-openjdk-headless, p-cpe:/a:novell:opensuse:java-25-openjdk-devel, p-cpe:/a:novell:opensuse:java-25-openjdk-src, p-cpe:/a:novell:opensuse:java-25-openjdk, p-cpe:/a:novell:opensuse:java-25-openjdk-javadoc
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/5/4
脆弱性公開日: 2026/3/2
参照情報
CVE: CVE-2026-22007, CVE-2026-22008, CVE-2026-22013, CVE-2026-22016, CVE-2026-22018, CVE-2026-22021, CVE-2026-23865, CVE-2026-34268, CVE-2026-34282