SUSE SLED15 / SLES15 セキュリティ更新 : netty、netty-tcnative (SUSE-SU-2026:2308-1)

medium Nessus プラグイン ID 321020

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:2308-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

netty、netty-tcnative 用のこの更新プログラムでは、以下の問題が修正されています

- CVE-2026-41417: 検証の欠如により、DefaultHttpRequest.setUri() におけるスタートライン挿入を介した HTTP リクエストスマグリングおよび RTSP リクエストインジェクションが発生する (bsc#1264350)。
- CVE-2026-42578: HttpProxyHandler 経由の HTTP ヘッダー注入により、netty での検証が無効になる (bsc#1265243)。
- CVE-2026-42579: DNS コーデックが、エンコーディング中またはデコーディング中にも RFC 1035 ドメイン名の制約を強制しない (bsc#1265272)。
- CVE-2026-42580: チャンクサイズパーサーが int の整数オーバーフローをサイレントに発生させ、リクエストスマグリング攻撃を可能にする (bsc#1265273)。
- CVE-2026-42581: HTTP/1.0 リクエストでの TE+CL ヘッダーの共存により、スマグリングサニタイズがバイパスされる (bsc#1265277)。
- CVE-2026-42583:「Lz4FrameDecoder」を介したリソース枯渇とサービス拒否の可能性 (bsc#1265279)。
- CVE-2026-42584:「HttpClientCodec」での受信応答の不適切な処理が、応答の非同期化を引き起こす可能性 (bsc#1265280)。
- CVE-2026-42585: Netty は非同期のイベント駆動型ネットワークアプリケーションフレームワークです (bsc#1265292)。
- CVE-2026-42586:Netty Redis コーデックエンコーダーにおける CRLF インジェクション (bsc#1265245)。
- CVE-2026-42587: Content-Encoding: br/zstd/snappy を介した HttpContentDecompressor の maxAllocation バイパスにより、解凍爆弾による DoS が可能になる (bsc#1265246)。
- CVE-2026-44248: Netty は非同期のイベント駆動型ネットワークアプリケーションフレームワークです (bsc#1265294)。
- CVE-2026-42582: HTTP/3 QPACK リテラル無制限割り当て (bsc#1265318)。

netty の変更:

- アップストリームバージョン 4.1.133 にアップグレード

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける netty、netty-javadoc または netty-tcnative パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1264350

https://bugzilla.suse.com/1265243

https://bugzilla.suse.com/1265245

https://bugzilla.suse.com/1265246

https://bugzilla.suse.com/1265272

https://bugzilla.suse.com/1265273

https://bugzilla.suse.com/1265277

https://bugzilla.suse.com/1265279

https://bugzilla.suse.com/1265280

https://bugzilla.suse.com/1265292

https://bugzilla.suse.com/1265294

https://bugzilla.suse.com/1265318

https://lists.suse.com/pipermail/sle-updates/2026-June/047194.html

https://www.suse.com/security/cve/CVE-2026-41417

https://www.suse.com/security/cve/CVE-2026-42578

https://www.suse.com/security/cve/CVE-2026-42579

https://www.suse.com/security/cve/CVE-2026-42580

https://www.suse.com/security/cve/CVE-2026-42581

https://www.suse.com/security/cve/CVE-2026-42582

https://www.suse.com/security/cve/CVE-2026-42583

https://www.suse.com/security/cve/CVE-2026-42584

https://www.suse.com/security/cve/CVE-2026-42585

https://www.suse.com/security/cve/CVE-2026-42586

https://www.suse.com/security/cve/CVE-2026-42587

https://www.suse.com/security/cve/CVE-2026-44248

プラグインの詳細

深刻度: Medium

ID: 321020

ファイル名: suse_SU-2026-2308-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/6/14

更新日: 2026/6/14

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-42581

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.3

Threat Score: 2.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2026-42578

脆弱性情報

CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:netty-tcnative, p-cpe:/a:novell:suse_linux:netty, p-cpe:/a:novell:suse_linux:netty-javadoc

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/9

脆弱性公開日: 2026/5/5

参照情報

CVE: CVE-2026-41417, CVE-2026-42578, CVE-2026-42579, CVE-2026-42580, CVE-2026-42581, CVE-2026-42582, CVE-2026-42583, CVE-2026-42584, CVE-2026-42585, CVE-2026-42586, CVE-2026-42587, CVE-2026-44248

SuSE: SUSE-SU-2026:2308-1