openSUSE 16 セキュリティ更新:apache-commons-lang3、apache-commons-text、apache-commons-configuration2、apache-commons-cli、apache-commons-io、apache-commons-codec(openSUSE-SU-2026:20841-1)
medium Nessus プラグイン ID 318193
Language:
概要
リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。説明
リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20841-1 アドバイザリで言及されています。apache-commons-lang3 での変更:
3.20.0 に更新してください
- 新機能:
- SystemProperties.getPath(string, supplier<Path>) を追加します
- JavaVersion.JAVA_25 を追加します
- JavaVersion.JAVA_26 を追加します
- SystemUtils.IS_JAVA_25を追加
- SystemUtils.IS_JAVA_26を追加
- MutablePair.ofNonNull(Map.Entry) を追加します
- TimedSemaphore.builder()、Builder を追加し、コンストラクターを非推奨にします
- LANG-1504:StopWatch を分割するためのラベルと履歴の追加
* 修正されたバグ:
- ObjectToStringComparator.compare() メソッドを最適化します
- [javadoc] StringUtils javadoc を改善します
- プライベート isEnum() メソッドの内部反転ロジックを修正し、getFirstEnum() における使用率を修正します
- サブクラスがそれらを効果的にオーバーライドできるように、ToStringStyle でアクセサーを使用します
- 2 文字の国コードの「LocaleUtils.toLocale(String)」は、「IllegalArgumentException」をスローせずに値を返すようになりました
- StringUtils.trunctate() IllegalArgumentException メッセージおよびテストアサーションメッセージにおける誤字を修正します
- ReflectionDiffBuilderTest.testTransientFieldDifference() のテスト治具を修正します
- LANG-1789:MethodUtils で NoSuchMethodException を生成する際の NullPointerException
- LANG-1786:廃止された TimeZone 短い ID をコンソールにマップし、JRE WARNING を回避します
- LANG-1792:TypeUtils.toString() は、クラス型のかぎ括弧をスキップします
- リリースノートで JDK 25 LTS をテスト済みバージョンとして言及
* 変更:
- org.apache.commons:commons-parent を 88 から 92 に更新します
- 3.19.0 への更新
- 新機能:
- ArrayUtils.SOFT_MAX_ARRAY_LENGTHを追加
- SystemUtils.IS_OS_NETWAREを追加
- MethodUtils.getAccessibleMethod(Class, Method) を追加します
- ClassUtils.getClass(...) が、非常に長い入力で StackOverflowError をスローできる CVE-2025-48924 に関するドキュメントをサイトに追加 + StringUtils.indexOfAny(CharSequence, int, char...) を追加 + ConcurrentException.ConcurrentException(String) を追加 + DateUtils.toLocalDateTime(Date[, TimeZone]) を追加 + DateUtils.toOffsetDateTime(Date[, TimeZone]) を追加 + DateUtils.toZonedDateTime(Date[, TimeZone]) を追加 + ByteConsumer を追加 + ByteSupplier を追加 + FailableByteConsumer を追加 + FailableByteSupplier を追加 + LANG-1784: 関数を追加NULL セーフのマッピングとチェーンのためのメソッド + LANG-1784: NULL セーフのマッピングとチェーンのための Failable メソッドを追加 + DoubleRange.fit(double) を追加 + IntegerRange.fit(int) を追加 + LongRange.fit(long) を追加 + DurationUtils.get(String, TemporalUnit, long) を追加 + DurationUtils.getMillis(String, long) を追加 + DurationUtils.getSeconds(String, long) を追加 + SystemProperties.getBoolean(Class, String, boolean) を追加 + SystemProperties.getInt(Class, String, int) を追加 + SystemProperties.getLong(Class, String, long) を追加
* 修正されたバグ:
+ LANG-1778:MethodUtils.getMatchingMethod() はメソッドの階層を尊重しません + MethodUtils.getMethodObject(Class<?>, String, Class<?>...) は、他の例外タイプの場合と同様に、NullPointerException をスローせずに null を返すようになりました + ArrayUtils.shuffle() メソッドをテストする ArrayUtilsTest メソッドの偽の失敗を低減します + MethodUtils は、その package-private スーパークラスに実装されているパブリッククラスでパブリックメソッドを検索または呼び出すことができません + AtomicSafeInitializer.get() はスピンできます内部で、FailableSupplierがAbstractConcurrentInitializerに与えられた場合。AbstractBuilder.setInitializer(FailableSupplier)がRuntimeExceptionをスローする + LANG-1783: WordUtils.containsAllWords?() が PatternSyntaxException をスローする可能性があります + LANG-1782: MethodUtils は、vararg 型または値を指定せずに vararg メソッドを検索または呼び出せません + MethodUtils は、インターフェイス型の vararg メソッドを検索または呼び出せません + MethodUtils は、JLS 5.1.2に従ってプリミティブタイプを広げる際に、vararg メソッドを検索または呼び出せません。プリミティブ変換の拡大 + LANG-1597:一致する varargs メソッドが見つかったが破棄されたため、呼び出しに失敗します + MemberUtils の .setAccessibleWorkaround(T) でアクセシビリティを 2 度チェックしません + LANG-1774:無効な入力に対する ClassUtils の .getShortCanonicalName() の処理を改善します + LANG-1720:変換用の Javadocs を改善します + CalendarUtils.toLocalDate() Javadoc の戻り値タイプの説明を修正します + CharUtils.isHex() の Javadoc サンプルのメソッド名を修正します + NumberUtils.compare(byte, byte) を廃止しますByte.compare(byte, byte) を優先 + Integer.compare(int, int) を優先して NumberUtils.compare(int, int) を廃止 + Long.compare(long, long) を優先して NumberUtils.compare(long, long) を廃止 + Short.compare(short, short) を優先して NumberUtils.compare(short, short) を廃止 + 廃止されたシステムプロパティ定数を廃止 SystemProperties.AWT_TOOLKIT + 廃止されたシステムプロパティ定数 SystemProperties.JAVA_AWT_FONTS を廃止 + 廃止されたシステムプロパティ定数を廃止SystemProperties.JAVA_AWT_GRAPHICSENV + 廃止されたシステムプロパティ定数 SystemProperties.JAVA_AWT_HEADLESS + 廃止されたシステムプロパティ定数を廃止します SystemProperties.JAVA_AWT_PRINTERJOB + 廃止されたシステムプロパティ定数を廃止します SystemProperties.JAVA_COMPILER + 廃止されたシステムプロパティ定数を廃止します SystemProperties.JAVA_ENDORSED_DIRS + 廃止されたシステムプロパティ定数を廃止します SystemProperties.JAVA_EXT_DIRS + 廃止されたシステムプロパティ定数のメソッドを廃止しますSystemProperties.getAwtToolkit() + 廃止されたシステムプロパティ定数のメソッド SystemProperties.getJavaAwtFonts() を廃止 + 廃止されたシステムプロパティ定数のメソッド SystemProperties.getJavaAwtGraphicsenv() + 廃止されたシステムプロパティ定数 SystemProperties.getJavaAwtHeadless() のメソッドを廃止 + 廃止されたシステムプロパティ定数 SystemProperties.getJavaAwtPrinterjob() のメソッドを廃止 + 廃止されたシステムプロパティ定数 SystemProperties のメソッドを廃止。getJavaCompiler() + 廃止されたシステムプロパティ定数 SystemProperties.getJavaEndorsedDirs() のメソッドを廃止 + 廃止されたシステムプロパティ定数 SystemProperties.getJavaExtDirs() のメソッドを廃止 + 廃止されたシステムプロパティ定数 SystemUtils.isJavaAwtHeadless() のメソッドを廃止 + 廃止されたシステムプロパティ SystemUtils.JAVA_AWT_FONTS の定数を廃止 + 廃止されたシステムプロパティの定数を廃止 SystemUtils.JAVA_AWT_GRAPHICSENV + 廃止されたシステムの定数を廃止プロパティ SystemUtils.JAVA_AWT_HEADLESS + 旧式のシステムプロパティ用の定数を廃止します SystemUtils.JAVA_AWT_PRINTERJOB + 旧式のシステムプロパティ用の定数を廃止します SystemUtils.JAVA_COMPILER + 旧式のシステムプロパティ用の定数を廃止します SystemUtils.JAVA_ENDORSED_DIRS + 旧式のシステムプロパティ用の定数を廃止します SystemUtils.JAVA_EXT_DIRS + [javadoc] 全般的な改善 + [javadoc] MethodUtils.getMethodObject(Class<?>、String、 クラス<?>...)+ [javadoc] Strings::equalsAny:CI doc 文字列は、無差別であることを示すはずです + [javadoc] Javadoc の全般的な改善 + LANG-1780:[javadoc] 文字列 javadoc を修正します + [javadoc] 文字列インスタンスの Javadoc にある誤字を修正します + [javadoc] ClassUtils の javadocs を修正します + [javadoc] StringUtils#startsWithAny に対する@deprecatedリンクを修正します + 古いフェザーのロゴタイプを新しいオークのロゴタイプに置き換えます
* 変更:
+ [テスト] org.apache.commons:commons-text を 1.13.1 から 1.14.0 へ更新 + org.apache.commons:commons-parent を 85 から 88 へ更新
- 3.18.0 への更新
- default.properties のコンポーネントバージョンを以下に修正します 3.12
* NPE を回避するために LocaleUtils.toLocale(Locale) を追加して使用します。
* JDBC API で便利な FailableShortSupplier を追加します。
* JavaVersion.JAVA_17を追加します。
* StringUtils.substringBefore(String, int) を追加します。
* Range.INTEGER を追加します。
* DurationUtils を追加します。
* RandomUtils.nextLong(long, long) の実装を修正。
* maven-surefire-plugin 2.22.2 -> 3.0.0-M5 を更新します。
* junit-bom を 5.7.0 から 5.7.1 へ更新します。
* 無視された例外「無視」は、そのように呼ぶべきではありません。
* 配列スタイルを「int a[]」から「int[] a」に変更します。
apache-commons-text での変更:
- バージョンにアップグレードしてください 1.15.0
* 新機能
+ 実験的な CycloneDX VEX ファイルを追加 + TEXT-235:Damerau-Levenshtein 距離を追加 + ユニットテストを追加してカバレッジを拡大 + CharSequenceTranslator#with() の新しいテストを追加 + テストとアサーションを org.apache.commons.text.similarity に追加して 100% のコードカバレッジに到達
* 修正済みのバグ
+ XmlStringLookup にある例外メッセージの誤入力を修正します。XmlStringLookup(Map, Path...) + TEXT-236:TextStringBuilder の末尾に挿入すると、StringIndexOutOfBoundsException がスローされます + 適切な引数タイプを使用するために TextStringBuilderTest.testAppendToCharBuffer() を修正します + Apache RAT プラグインコンソールの警告を修正します + バージョン 2.0.0 XML スキーマを使用するようにサイト XML を修正します + src/main/java/org/apache/commons/text/similarity の到達不能なしきい値検証コードを削除しました + 下層の JAXP がある場合に、XmlStringLookup の XML パーサーの安全な処理を有効にします実装は、
- バージョンにアップグレードしてください 1.14.0
* 新機能
+ インターフェイス StringLookup が UnaryOperator を拡張するようになりました<String> + インターフェイス TextRandomProvider が IntUnaryOperator を拡張 + RandomStringGenerator.Builder .usingRandom(IntUnaryOperator) を追加 + PMD チェックをデフォルトの Maven 目標に追加 + org.apache.commons.text.RandomStringGenerator.Builder .setAccumulate(boolean) を追加
* 修正済みのバグ
+ StringLookupFactory の pmd UnnecessaryFullyQualifiedName を修正 + DefaultStringLookupsHolder の pmd UnnecessaryFullyQualifiedName を修正 + PropertiesStringLookup の pmd UnnecessaryFullyQualifiedName を修正 + JavaPlatformStringLookup の pmd UnnecessaryFullyQualifiedName を修正 + StringSubstitutor の pmd UnnecessaryFullyQualifiedName を修正 + StrSubstitutor の pmd UnnecessaryFullyQualifiedName を修正 + StrSubstitutor の pmd UnnecessaryFullyQualifiedName を修正 + AlphabetConverter の pmd UnnecessaryFullyQualifiedName を修正 + AlphabetConverter の pmd AvoidBranchingStatementAsLastInLoop を修正TextStringBuilder + StrBuilder の PMD AvoidBranchingStatementAsLastInLoop を修正 + org.apache.commons.text.translate.LookupTranslator。LookupTranslator(Map CharSequence>) が、java.security.InvalidParameterException の代わりに NullPointerException をスローするようになりました
- バージョンにアップグレードしてください 1.13.1
* 修正済みのバグ
+ maven-bundle-plugin から -nouses ディレクティブを削除します。OSGi パッケージのインポートは、パッケージインポートの「uses」定義を状態にします。これは JPMS に影響を与えません(org.apache.commons:commons-parent:80 から) + EntityArrays.EntityArrays() を非推奨にします + StringLookupFactory.DefaultStringLookupsHolder .createDefaultStringLookups() は DefaultStringLookup をマップします。LOCAL_HOSTと LOOPBACK_ADDRESS に対して 1 回ではなく 2 回LOCAL_HOST
- バージョンにアップグレードしてください 1.13.0
* 新機能
+ StringLookupFactory.loopbackAddressStringLookup() を追加 + StringLookupFactory.KEY_LOOPBACK_ADDRESS を追加 + DefaultStringLookup.LOOPBACK_ADDRESSを追加 + パッケージ org.apache.commons.text のより豊富な入力を SimilarityInput とともに追加 + HammingDistance.apply(SimilarityInput, SimilarityInput) を追加 + JaccardDistance.apply(SimilarityInput, SimilarityInput) を追加 + JaccardSimilarity.apply(SimilarityInput, SimilarityInput) を追加 + JaroWinklerDistance.apply(SimilarityInput,SimilarityInput) + JaroWinklerSimilarity.apply(SimilarityInput, SimilarityInput) を追加 + LevenshteinDetailedDistance.apply(SimilarityInput, SimilarityInput) を追加 + LevenshteinDistance.apply(SimilarityInput, SimilarityInput) を追加
* 修正済みのバグ
+ Java 22 のビルドを修正します + Java 23-ea のビルドを修正します + package-private コンストラクターをプライベートにします:
StrLookup.MapStrLookup.MapStrLookup(Map) + package-private コンストラクターをプライベートにします: StrLookup。SystemPropertiesStrLookup.SystemPropertiesStrLookup() + package-private クラスをプライベートかつ最終的なものにします: MapStrLookup + package-private クラスをプライベートにします: StrMatcher.CharMatcher + package-private クラスをプライベートにします: StrMatcher.CharSetMatcher + package-private クラスをプライベートにします: StrMatcher.NoMatcher + package-private クラスをプライベートにします: StrMatcher.StringMatcher + package-private クラスをプライベートにします: StrMatcher.TrimMatcher + package-private クラスをプライベートかつ最終的なものにします:
IntersectionSimilarity.BagCount + package-private クラスをプライベートかつファイナルにします:
IntersectionSimilarity.TinyCount + LevenshteinDistance.LevenshteinDistance() を廃止し、LevenshteinDistance.getDefaultInstance() を廃止 + LevenshteinDetailedDistance を廃止。LevenshteinDetailedDistance.getDefaultInstance() を優先 + TEXT-234:改行テキストに関する StrBuilder ドキュメントを改善 + TEXT-234:改行テキストに関する TextStringBuilder ドキュメントを改善 + TEXT-233:MANIFEST で必要な OSGi Import-Package バージョン番号。MF
- バージョンにアップグレードしてください 1.12.0
* 新機能
+ StringLookupFactory.fileStringLookup(Path...) および非推奨の fileStringLookup() を追加 + StringLookupFactory.propertiesStringLookup(Path...) および非推奨のプロパティStringLookup() を追加 + StringLookupFactory.xmlStringLookup(Map, Path...) および非推奨の xmlStringLookup() および xmlStringLookup(Map) を追加 + ファイル、プロパティ、XML 検索のパス解決をフェンシングするために StringLookupFactory.builder() を追加 + Builder として DoubleFormat.Builder.get() を追加 Supplier を実装するようになりました
* 修正済みのバグ
+ TEXT-232:WordUtils.containsAllWords?() が PatternSyntaxException をスローする可能性があります + TEXT-175:WordUtils の空白の決定に関する回帰を修正します + Provider の代わりに Builder を廃止します
- バージョンにアップグレードしてください 1.11.0
* 新機能
+ TEXT-224:デフォルトで XmlStringLookup に SecureProcessing 機能を設定します + TEXT-224:StringLookupFactory.xmlStringLookup(Map<String、Boolean>...) を追加します + FormatFactory に@FunctionalInterfaceを追加します + RandomStringGenerator.builder() を追加します + TEXT-229:XmlEncoderStringLookup/XmlDecoderStringLookup を追加します + StringSubstitutor.toString() を追加します
* 修正済みのバグ
+ TEXT-219:StringTokenizer.getTokenList を修正して、独立した変更可能なリストを返すようにします + StringEscapeUtils.escapeHtml4 の Javadoc を修正します + TextStringBuidler#hashCode() は各呼び出しで文字列を割り当てます + TEXT-221:パッケージ名 org.apache.commons.text を使用するように Bundle-SymbolicName を修正します + RegexTokenizer にパッケージプライベートシングルトンを追加して使用します + CosineSimilarity にパッケージプライベートシングルトンを追加して使用します + LongestCommonSubsequence にパッケージプライベートシングルトンを追加して使用します + 追加して使用JaroWinklerSimilarity のパッケージプライベートシングルトン + JaccardSimilarity のパッケージプライベートシングルトンを追加して使用します + [StepSecurity] ci:GitHub アクションを強化します + AlphabetConverter Javadoc を改善します + 集合論的に意味のあるものにするために IntersectionResult の例外メッセージを修正します + NullPointerException を回避するために RandomStringGenerator#Builder#selectFrom() に null チェックを追加します + NullPointerException を回避するために RandomStringGenerator#Builder#withinRange() に null チェックを追加します + TEXT-228:TextStringBuilder を修正して容量確保時に割り当てすぎます + ResourceBundleStringLookup のコンストラクターは、package-private ではなくプライベートにする必要があります + UrlDecoderStringLookup のコンストラクターは、package-private ではなくプライベートにする必要があります + UrlEncoderStringLookup のコンストラクターは、package-private ではなくプライベートにする必要があります + TEXT-230: org.apache.commons.text.lookup の Javadoc。DefaultStringLookup.XMLが不適切です + DoubleFormat を更新し、それが Double.toString に基づくようにします
+ Javadocs から存在しないパラメーターを削除し、スペルアウトしました + StringEscapeUtils.unescapeCsv が先頭の引用符を削除しません + TextStringBuilder.readFrom(Readable) をリファクタリングして抽出 + org.apache.commons.text.TextStringBuilder.drainChars(int、 を追加します) + org.apache.commons.text.TextStringBuilder.wrap(char[],
apache-commons-configuration2 での変更:
- バージョンにアップグレードしてください 2.15.0
* 変更
+ デフォルトでインクルードスキーム http[s] を無効にします、AbstractFileLocationStrategy を参照 + YAML 入力の処理サイクルを検出し、回避します(YAMLConfiguration)(bsc#1265299、 CVE-2026-45205) + jar: URL の内部スキームにスキーム検証を拡張します
- バージョンにアップグレードしてください 2.14.0
* 新機能
+ XMLConfiguration.read(element) を追加 + ConfigurationException.ConfigurationException(String, Object...) を追加 + ConfigurationException.ConfigurationException(throwable, string, object...) を追加 + ConversionException.ConversionException(String, Object...) を追加 + ConversionException.ConversionException(throwable, string, object...) を追加 + ConfigurationRuntimeException を追加。ConfigurationRuntimeException(throwable、string、object...)
* 修正済みのバグ
+ Apache RAT プラグインコンソールの警告を修正します + 廃止された API から移行します
- バージョンにアップグレードしてください 2.13.0
* 新機能
+ org.apache.commons.configuration2.ImmutableConfiguration .entrySet() を追加 + org.apache.commons.configuration2.ImmutableConfiguration .forEach(BiConsumer<String, Object>) を追加 + に VEX エントリを追加 CVE-2025-48924
* 修正済みのバグ
+ 1 つのスレッドで共有プリミティブ変数 throwExceptionOnMissing が、別のスレッドから直近の書き込みの値を生成しない可能性があります [org.apache.commons.configuration2.AbstractConfiguration] の AbstractConfiguration.java:
[1493行目]AT_STALE_THREAD_WRITE_OF_PRIMITIVE + 1 つのスレッドで共有プリミティブ変数 forceSingleLine が、別のスレッドから直近の書き込みの値を生成しない可能性があります [org.apache.commons.configuration2.PropertiesConfigurationLayout] at PropertiesConfigurationLayout.java:[line 821] AT_STALE_THREAD_WRITE_OF_PRIMITIVE + CONFIGURATION-849:文字列の倍増ができないように修正 + CONFIGURATION-852:パッケージ jakarta.servlet.* import を OSGi のオプションとしてマーク + ビルドを修正 [警告] パラメーター「forkMode」がプラグイン「maven-surefire-plugin:3.5.3:test (default-test)」で不明
- バージョンにアップグレードしてください 2.12.0
- 新機能:
+ PrefixedKeysIterator.toString() を package-private PrefixedKeysIterator に追加します + CONFIGURATION-836:jakarta.servlet 名前空間を使用する新しい Web 構成が現在利用可能です + CONFIGURATION-836:org.apache.commons.configuration2.web を追加します。JakartaServletConfiguration + CONFIGURATION-836:org.apache.commons.configuration2.web を追加します。JakartaServletContextConfiguration + CONFIGURATION-836:org.apache.commons.configuration2.web を追加します。JakartaServletFilterConfiguration + CONFIGURATION-836:org.apache.commons.configuration2.web を追加します。JakartaServletRequestConfiguration + org.apache.commons.configuration2 を追加します。AbstractHierarchicalConfiguration.getKeysInternal(String, String)
* 修正されたバグ:
+ PropertyConverter.to(Class, Object, DefaultConversionHandler) はカスタムの java.lang.Number サブクラスを変換しません + DefaultConversionHandler.convertValue(Object, Class, ConfigurationInterpolator) はカスタムの java.lang を変換しません。Number subclasses + DefaultConversionHandler.to(Object、Class、ConfigurationInterpolator)はカスタムjava.langを変換しません。番号サブクラス + CONFIGURATION-848:SubsetConfiguration は、 2.9.0 で行ったように区切り記号を考慮しません + CONFIGURATION-848:CompositeConfiguration は、 2.9.0 で行ったように区切り記号を考慮しません + セキュリティモデルを記述します + Web サイトで 1.x バージョン行を強調しないようにします + CONFIGURATION-851:HomeDirectoryLocationStrategy は、ユーザーの HOME ディレクトリを適切に解決しなくなりました
- バージョンにアップグレードしてください 2.11.0
* 新機能
+ CONFIGURATION-844:空のセクションのサポートを追加します + ImmutableConfiguration.containsValue(Object) を追加します
* 修正済みのバグ
+ DataConfiguration の場合、NullPointerException で高速でフェイルファスト。DataConfiguration(Configuration) が null で呼び出される + XMLPropertiesConfiguration.XMLPropertiesConfiguration(Element) が null で呼び出される場合は NullPointerException で高速で呼び出されます + SubsetConfiguration コンストラクターが null で呼び出される場合は NullPointerException で高速で高速で呼び出されます Configuration + CONFIGURATION-843:メソッドは空にすべきではありません + Null マップに対して MapConfiguration をガードします + AppletConfiguration(Applet) が null で呼び出された場合は NullPointerException でフェールファストします +ServletConfiguration(Servlet) が null で呼び出された場合の NullPointerException + ServletConfiguration(ServletConfig) が null で呼び出された場合は NullPointerException でフェイルファスト + ServletContextConfiguration(Servlet) が null で呼び出された場合は NullPointerException でフェイルファスト + ServletContextConfiguration(ServletContext) が null で呼び出された場合は NullPointerException でフェイルファスト + ServletFilterConfiguration(FilterConfig) が null で呼び出された場合は NullPointerException でフェイルファスト + フェイルファストServletRequestConfiguration(ServletRequest) が null で呼び出される場合に、NullPointerException を指定します + getDataSource() のために DatabaseConfiguration.getDatasource() を廃止します + AbstractImmutableNodeHandler の PMD DynamicCombinedConfiguration を修正します + AbstractListDelimiterHandler の PMD DynamicCombinedConfiguration を修正します + DefaultPrefixLookupsHolder の PMD DynamicCombinedConfiguration を修正します + DynamicCombinedConfiguration の PMD DynamicCombinedConfiguration を修正します + PMD DynamicCombinedConfiguration を修正しますPropertiesConfiguration + CONFIGURATION-846:以前の挙動を復元して Spring が複数の値を注入できるようにします + CONFIGURATION-847:空の文字列値を持つプロパティが処理されませんでした
apache-commons-cli の変更:
- 1.11.0 への更新
* 新機能
+ オプションの繰り返しを測定するために CommandLine.getOptionCount() を追加します
* 修正済みのバグ
+ CLI-351:複数の末尾のBREAK_CHAR_SET文字が HelpFormatter で無限ループを引き起こします + CLI-351:ヘルプ出力でレポートされないグループに関する問題を修正します
apache-commons-io での変更:
- 2.22.0 にアップグレードします
* 新機能
+ IOUtils.closeQuietlySuppress(Closeable, Throwable) を追加および使用 + ProxyWriter.setReference(Writer) を追加 + ProxyWriter.unwrap() を追加 + ProxyReader.setReference(Reader) を追加 + ProxyReader.unrwap() を追加 + IO-883:ByteArraySeekableByteChannel はオプションで読み取り専用チャネルを構成するべき + IO-883:ByteArraySeekableByteChannel.Builder および builder() を追加 + IO-883:AbstractStreamBuilder.getByteArray() を追加 + CloseShieldInputStream がカスタムクローズシールドを関数としてサポートするようになりました + 追加FlushShieldOutputStream を使用して、org.tukaani.xz.LZMAOutputStream.flush() のようなサードパーティを呼び出すことになるジェネリックコードの問題を回避します + フィルターチャネルを追加します
* 修正済みのバグ
+ Apache RAT プラグインコンソール警告を修正 + ByteArraySeekableByteChannel.position(long) および truncate(long) は、大きすぎる新しい正の位置に対して IllegalArgumentException をスローしてはいけません + 無効な形式の Javadoc コメントを修正 + ReadAheadInputStream.close() は、フィルターされた入力ストリームを常に閉じるとは限りません + ReadAheadInputStream は、InterruptedException をキャッチする際、現在のスレッドの割り込みフラグを復元します + FileAlterationMonitor.stop(long) は、現在のスレッドの割り込みフラグを復元しますInterruptedException をキャッチする際 + FileCleaningTracker が、InterruptedException をキャッチする際、現在のスレッドの割り込みフラグを復元するようになりました + ThreadMonitor.run() が、InterruptedException をキャッチする際、現在のスレッドの割り込みフラグを復元するようになりました + ThrottledInputStream.throttle() が、InterruptedException をキャッチする際、現在のスレッドの割り込みフラグを復元するようになりました + ThrottledInputStream.throttle() が、InterruptedIOException の原因として元の InterruptedException を保持しません + すべてスレッド名に commons-io-+ のプレフィックスが追加されるようになりました IO-639:ReversedLinesFileReader は、最初の行が空の場合、その行を読みません + IO-886:PathUtils.RelativeSortedPaths.extractKey(String, String) の不適切な正規表現を修正 + FileUtils および関連するテストクラスの Javadoc の誤字を修正 + IO-887:ビルダーからの WriterOutputStream が無効な形式またはマッピングできない入力バイトで失敗します + BoundedReader が ProxyReader を拡張するようになりました + AbstractStreamBuilder.setOpenOptions(OpenOption...) が の防御コピーを作成するようになりましたその入力配列 + IO-885:パス訪問がリンクをフォロー + BOMInputStream がフェイルファストで ByteOrderMark を最終として追跡 + 重複のために UnixLineEndingInputStream および WindowsLineEndingInputStream をリファクタリング + IO-857:[Javadoc] PathUtils.cleanDirectory() メソッドと FileUtils + JaCoCo レポート生成を修正(コードカバレッジ) + AbstractStreamBuilder.setBufferSizeDefault(int) がゼロ以下の入力に対してデフォルトにリセットされる
* 変更
+ org.apache.commons:commons-parent を 91 から 98 へ更新 + commons-codec:commons-codec を 1.19.0 から 1.21.0 へ更新 + commons.bytebuddy.version を 1.17.8 から 1.18.8 へ更新 + 更新 ...
注意: この説明は、長さの関係上省略されています。詳細については、ベンダーのアドバイザリを参照してください。
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1265299
プラグインの詳細
深刻度: Medium
ID: 318193
ファイル名: openSUSE-2026-20841-1.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2026/6/2
更新日: 2026/6/2
サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 2.2
CVSS v2
リスクファクター: Medium
基本値: 6.4
現状値: 4.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2025-48924
CVSS v3
リスクファクター: Medium
基本値: 5.3
現状値: 4.6
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2026-45205
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:apache-commons-io-javadoc, cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:apache-commons-configuration2, p-cpe:/a:novell:opensuse:apache-commons-text, p-cpe:/a:novell:opensuse:apache-commons-cli-javadoc, p-cpe:/a:novell:opensuse:apache-commons-configuration2-javadoc, p-cpe:/a:novell:opensuse:apache-commons-lang3-javadoc, p-cpe:/a:novell:opensuse:apache-commons-lang3, p-cpe:/a:novell:opensuse:apache-commons-text-javadoc, p-cpe:/a:novell:opensuse:apache-commons-codec-javadoc, p-cpe:/a:novell:opensuse:apache-commons-cli, p-cpe:/a:novell:opensuse:apache-commons-io, p-cpe:/a:novell:opensuse:apache-commons-codec
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/5/29
脆弱性公開日: 2025/7/11
参照情報
CVE: CVE-2025-48924, CVE-2026-45205