概要
リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。
説明
リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20956-1 アドバイザリで言及されています。
trivy 用のこの更新は、次の問題を修正します
- CVE-2026-25680,CVE-2026-25681,CVE-2026-27136,CVE-2026-42502,CVE-2026-42506:golang.org/x/net/html:
HTML ファイル解析時の複数の問題(bsc#1267047)。
- CVE-2026-33814:golang.org/x/net/http2:不良なSETTINGS_MAX_FRAME_SIZEが与えられた場合の HTTP/2 トランスポートの無限ループ(bsc#1265648)。
- CVE-2026-39821:golang.org/x/net/idna:ASCII のみの Punycode でエンコードされたラベルを拒否できないことにより、検証バイパスと権限昇格(bsc#1266495)が可能になります。
- CVE-2026-39827:チャネルを拒否するときにメモリリークを呼び出すと、golang.org/x/crypto/ssh で DoS が発生する可能性があります(bsc#1266075)。
- CVE-2026-39828:golang.org/x/crypto/ssh における証明書制限のバイパスの呼び出し(bsc#1266075)。
- CVE-2026-39829:異常な RSA/DSA パラメーターを呼び出すと、golang.org/x/crypto/ssh で DoS を引き起こす可能性があります(bsc#1266075)。
- CVE-2026-39830:クライアントを呼び出すと、golang.org/x/crypto/ssh(bsc#1266075)の予期しない応答でサーバーのデッドロックを引き起こす可能性があります。
- CVE-2026-39831:golang.org/x/crypto/ssh における FIDO/U2F セキュリティキーの物理的相互作用のバイパス呼び出し(bsc#1266075)。
- CVE-2026-39832:golang.org/x/crypto/ssh/agent でキーを転送する際にドロップされたエージェント制約の呼び出し(bsc#1266075)。
- CVE-2026-39833:golang.org/x/crypto/ssh/agent で実施されないキー制約の呼び出し(bsc#1266075)。
- CVE-2026-39834:golang.org/x/crypto/ssh の大きなチャネル書き込みで無限ループを呼び出す(bsc#1266075)。
- CVE-2026-39835:golang.org/x/crypto/ssh の CheckHostKey/Authenticate 中のサーバーパニックの呼び出し(bsc#1266075)。
- CVE-2026-42508:golang.org/x/crypto/ssh/knownhosts の強制されていない @revoked ステータスを介した認証バイパスの呼び出し(bsc#1266075)。
- CVE-2026-46595:VerifiedPublicKeyCallback 権限の呼び出しは、golang.org/x/crypto/ssh における強制をスキップします(bsc#1266075)。
- CVE-2026-46597:バイト演算を呼び出すと、golang.org/x/crypto/ssh でアンダーフローとパニックが発生します(bsc#1266075)。
- CVE-2026-46598:異常な入力を呼び出すと、golang.org/x/crypto/ssh/agent におけるクライアントパニックを引き起こす可能性があります(bsc#1266075)。
- CVE-2026-44740:github.com/go-git/go-billy/v5:多くのコンポーネントで入力が不適切に処理され、無限ループ、パニック、またはリソース消費(bsc#1267268)を介して DoS が発生する可能性があります。
ささいな変更:
- バージョン 0.71.0 (bsc#1267268、CVE-2026-44740) に更新してください:
* リリース:v0.71.0 [メイン](#10638)
* ci:release-please ワークフローでコミットメッセージの最初の行のみを使用(#10766)
* feat:ospkg 検出器に WithDriver および WithProvider オプションを追加(#10740)
* chore(deps):v0.21.6 に github.com/google/go-containerregistry を更新(#10741)
* refactor(secret):Init で一度 configPath を正規化します(#10702)
* feat(secret):Maven ルールを追加し、settings.xml および settings-security.xml ファイル内のパスワードおよびパスフレーズを検出します(#10704)
* chore(deps):25 の更新で 1 つのディレクトリに共通グループを更新(#10758)
* chore:gomodguard から gomodguard_v2 に移行します(#10739)
* chore(deps): 2 つの更新を含む 1 つのディレクトリに docker グループを更新します (#10709)
* chore(deps):aws グループで github.com/aws/aws-sdk-go-v2/service/ec2 を 1.302.0 から 1.303.0 に更新します(#10752)
* ci:アプリトークンGitHub最小限必要な権限の範囲(#10755)
* chore(deps):go-redis を v8 から v9 へアップグレードします(#10736)
* fix(misconf):terraform plan リストのネスト化された値のレンダリングを修正します(#10746)
* 修正(misconf):変更後なしのリソースをスキップ(#10352)
* fix(misconf):プレイブック解析中の nil 再生を拒否(#10273)
* fix(nodejs):無効な名前のファイルpackage.jsonサブディレクトリをサイレントにスキップします(#10609)
* fix(misconf):パニックを防ぐために AsMapValue の null cty 値をスキップします(#10723)
* リファクタリング(misconf):カスタムのHelmアーカイブ解析をHelm SDKローダーで置換(#10718)
* chore(deps):v2.3.1 に github.com/containerd/containerd/v2 を更新します(#10738)
* chore(deps): github.com/go-git/go-git/v5 を 5.19.0 から 5.19.1 に更新します (#10686)
* 修正(レポート):gitlab.tpl リンク配列で末尾のコンマを生成しない(#10728)
* fix(cloudformation):AWS::EC2::Instance MetadataOptions を伝播します(#10731)
* chore(deps):依存関係 github.com/cenkalti/backoff v5 へのアップグレード(#10705)
* chore:golangci-lint を v2.12 に更新(#10726)
* feat(spdx):SHA-512 ハッシュアルゴリズムサポートを SPDX シリアライザに追加します(#10719)
* feat(sbom):CycloneDX 1.7 に対するサポート(#10715)
* chore(deps):aws グループで github.com/aws/aws-sdk-go-v2/service/ec2 を 1.300.0 から 1.302.0 に更新します(#10708)
* chore:helm.sh/helm/v3 から helm.sh/helm/v4 へ移行します(#10678)
* fix(image):BuildKit なしで構築された RUN 命令を正しく再構築します(#10714)
* feat(java):settings.xml(#10692)からの<mirrors>をサポートします
* 修正(java):pom.xml ファイルをスキャンする際に致命的なエラーとしてリモート Maven リポジトリからの 429 を表示します(#10693)
* chore: 1.26.3 に移動する(#10683)
* fix(nodejs):npm ロックファイルパーサーでレガシーライセンスフォーマットを処理します(#10684)
* fix(secret):secret-scanner 構成ファイルをスキャンから正しくスキップします(#10666)
* feat(ubuntu):Ubuntu 26.04 LTS を検出します(#10592)
* Refactor(nodejs):パッケージマネージャー間でのライセンストラバーサルの重複を排除(#10681)
* 修正:OS の上書き後に OS パッケージの PURL を上書き(#10298)
* feat(secret):Azure シークレット検出ルールを追加します(#10562)
* fix(misconf):Terraformファイルシステム関数でパストラバーサルを防止します(#10664)
* feat(secret):スキップされたフォルダ、ファイル、拡張子をカスタマイズする方法を追加します(#10550)
* ci:PAT トークンを GitHub アプリへ移行します(#10628)
* chore(deps): 6 つの更新を含む 1 つのディレクトリに aws グループを更新します (#10598)
* chore(deps):3 つの更新で docker グループを 1 つのディレクトリにまたがって更新します(#10596)
* chore(deps):9 回の更新で 2 つのディレクトリにまたがって github-actions グループを更新(#10608)
* chore(deps):github.com/in-toto/in-toto-golang を 0.10.0 から 0.11.0 へ更新します(#10641)
* chore(deps): github.com/go-git/go-git/v5 を 5.18.0 から 5.19.0 に更新します (#10648)
* ci:再利用可能なリリースワークフローのために、PAT トークンを GITHUB_TOKEN に移行します(#10655)
* feat(seal):言語ファイル検出のベンダーサポートを追加します。(#10297)
* fix(misconf):無視ルールの識別子で大文字と小文字を区別しないようにします(#10375)
* 修正:テストレポジトリがすでに存在する場合、クローンではなくプル(#10636)
* docs:check.trivy.dev 接続を無効にする方法を文書化します(#10623)
* docs(misconf):構成ミスのある構成の誤字を修正します(#10619)
* ci:実行ブロックからシークレットを削除します(#10590)
* docs:誤字を修正します(#10605)
* refactor(deps):アーカイブされた go-homedir を OS で置き換えます。UserHomeDir(#10484)
* chore(deps):「go-ini」を更新し、インポートパスを修正します。(#10489)
* chore(deps):9 回の更新で 2 つのディレクトリにまたがって github-actions グループを更新(#10495)
* chore(deps):github.com/aquasecurity/testdocker を増やします(#10543)
* docs:README デモビデオを mp4 に変換します(#10419)
* chore(deps):バグ修正のために VM スキャンの依存関係をアップグレードします(#10575)
* docs(nodejs):イメージスキャンでのpackage.json動作を明確化します(#10572)
* chore(deps):xeipuuv/gojsonschema および invopop/jsonschema を google/jsonschema-go で置換します(#10528)
* chore(deps): github.com/go-git/go-git/v5 を 5.17.2 から 5.18.0 に更新します (#10554)
* chore(deps):alpine を 3.23.4 に更新します(#10552)
* ci(helm): Trivy Helm Chart 0.22.0 に対して、Trivy バージョンを 0.70.0 に更新します (#10547)
- x/net を v0.55.0 に更新します(bsc#1266495、 CVE-2026-39821 bsc#1267047、 CVE-2026-25680、 CVE-2026-42502、 CVE-2026-27136、 CVE-2026-25681、 CVE-2026-42506)
- x/crypto を 0.52.0 に更新します(bsc#1266075、 CVE-2026-39827、 CVE-2026-39834、CVE-2026-39828、CVE-2026-39829、CVE-2026-39831、 CVE-2026-42508、CVE-2026-39833、CVE-2026-39830、CVE-2026-39832、 CVE-2026-46597、CVE-2026-46598、CVE-2026-46595、CVE-2026-39835) bsc#1265648、 CVE-2026-33814、
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける trivy パッケージを更新してください。
プラグインの詳細
ファイル名: openSUSE-2026-20956-1.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:trivy
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
参照情報
CVE: CVE-2026-25680, CVE-2026-25681, CVE-2026-27136, CVE-2026-33814, CVE-2026-39821, CVE-2026-39827, CVE-2026-39828, CVE-2026-39829, CVE-2026-39830, CVE-2026-39831, CVE-2026-39832, CVE-2026-39833, CVE-2026-39834, CVE-2026-39835, CVE-2026-42502, CVE-2026-42506, CVE-2026-42508, CVE-2026-44740, CVE-2026-46595, CVE-2026-46597, CVE-2026-46598