SUSE SLES15 セキュリティ更新 : apache2 (SUSE-SU-2026:2103-1)
critical Nessus プラグイン ID 317656
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:2103-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。この apache2 の更新では、次の問題を修正します
- CVE-2026-23918: http2: 早期リセットでの二重解放と RCE の可能性 (bsc#1263957)。
- CVE-2026-24072: ap_expr による権限昇格の mod_rewrite (bsc#1263935)。
- CVE-2026-28780:「ajp_msg_check_header()」を介した「mod_proxy_ajp」のヒープベースのバッファオーバーフロー (bsc#1264163)。
- CVE-2026-29168: OCSP 応答による「mod_md」での無制限のリソース割り当て (bsc#1264150)。
- CVE-2026-29169:「mod_dav_lock」での NULL ポインターデリファレンスにより、悪意のあるリクエストを介してサーバークラッシュが引き起こされる可能性がある (bsc#1263956)。
- CVE-2026-33006:「mod_auth_digest」タイミング攻撃により、Digest 認証のバイパスの可能性がある (bsc#1263955)。
- CVE-2026-33007:「mod_authn_socache」の NULL ポインターデリファレンスにより、認証されていないリモートのユーザーが、子プロセスをクラッシュさせる可能性がある (bsc#1263954)。
- CVE-2026-33523: 悪意のあるステータス行を転送する HTTP 応答分割 (bsc#1263953)。
- CVE-2026-33857: AJP ゲッター関数での off-by-one OOB 読み取り (bsc#1263952)。
- CVE-2026-34032: NULL 終端チェックがないことによる「mod_proxy_ajp」のヒープバッファオーバーリード (bsc#1263951)。
- CVE-2026-34059:「ajp_parse_data()」によるヒープバッファオーバーリードとメモリ漏洩 (bsc#1263950)。
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1263935
https://bugzilla.suse.com/1263950
https://bugzilla.suse.com/1263951
https://bugzilla.suse.com/1263952
https://bugzilla.suse.com/1263953
https://bugzilla.suse.com/1263954
https://bugzilla.suse.com/1263955
https://bugzilla.suse.com/1263956
https://bugzilla.suse.com/1263957
https://bugzilla.suse.com/1264150
https://bugzilla.suse.com/1264163
https://lists.suse.com/pipermail/sle-updates/2026-May/046853.html
https://www.suse.com/security/cve/CVE-2026-23918
https://www.suse.com/security/cve/CVE-2026-24072
https://www.suse.com/security/cve/CVE-2026-28780
https://www.suse.com/security/cve/CVE-2026-29168
https://www.suse.com/security/cve/CVE-2026-29169
https://www.suse.com/security/cve/CVE-2026-33006
https://www.suse.com/security/cve/CVE-2026-33007
https://www.suse.com/security/cve/CVE-2026-33523
https://www.suse.com/security/cve/CVE-2026-33857
プラグインの詳細
深刻度: Critical
ID: 317656
ファイル名: suse_SU-2026-2103-1.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2026/5/29
更新日: 2026/5/29
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.2
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2026-28780
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:apache2, p-cpe:/a:novell:suse_linux:apache2-prefork, p-cpe:/a:novell:suse_linux:apache2-utils, p-cpe:/a:novell:suse_linux:apache2-worker, p-cpe:/a:novell:suse_linux:apache2-devel, p-cpe:/a:novell:suse_linux:apache2-manual
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/5/28
脆弱性公開日: 2026/5/4
参照情報
CVE: CVE-2026-23918, CVE-2026-24072, CVE-2026-28780, CVE-2026-29168, CVE-2026-29169, CVE-2026-33006, CVE-2026-33007, CVE-2026-33523, CVE-2026-33857, CVE-2026-34032, CVE-2026-34059
IAVA: 2026-A-0423
SuSE: SUSE-SU-2026:2103-1