SUSE SLES15 セキュリティ更新プログラム:kubevirt(SUSE-SU-2026:2400-1)

medium Nessus プラグイン ID 321638

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:2400-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

バージョン 1.7.4 への更新は、さまざまな go 埋め込みセキュリティの問題を修正します:

- CVE-2025-47911:golang.org/x/net/html:HTML ドキュメント解析時の二次複雑度を伴うさまざまなアルゴリズム(bsc#1251420)。
- CVE-2025-47913:golang.org/x/crypto/ssh/agent:キーリストまたは署名リクエスト(bsc#1253559)への応答で予期しないメッセージタイプを受信した場合のクライアントプロセスの終了。
- CVE-2025-47914:golang.org/x/crypto/ssh/agent:未検証のメッセージサイズにより、領域外読み取りによるパニックを引き起こす可能性があります(bsc#1254014)。
- CVE-2025-58181:golang.org/x/crypto/ssh:無効な数のメカニズムにより、制限のないメモリ消費が引き起こされる可能性があります(bsc#1253935)。
- CVE-2025-58190:golang.org/x/net/html:「html.特別に細工された入力を処理する際に、 ParseFragment」を引き起こす可能性があります(bsc#1251615)。
- CVE-2026-7374:virt-handler:シンボリックリンクフォローの脆弱性を介した権限昇格およびノードの侵害(bsc#1265467)。
- CVE-2026-33186:google.golang.org/grpc:HTTP/2 :p ath pseudo-header(bsc#1260234)の不適切な検証による承認バイパス。

リリースノート https://github.com/kubevirt/kubevirt/releases/tag/v1.7.4

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける kubevirt-manifests や kubevirt-virtctl パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1251420

https://bugzilla.suse.com/1251615

https://bugzilla.suse.com/1253559

https://bugzilla.suse.com/1253935

https://bugzilla.suse.com/1254014

https://bugzilla.suse.com/1260234

https://bugzilla.suse.com/1265467

https://lists.suse.com/pipermail/sle-updates/2026-June/047325.html

https://www.suse.com/security/cve/CVE-2025-47911

https://www.suse.com/security/cve/CVE-2025-47913

https://www.suse.com/security/cve/CVE-2025-47914

https://www.suse.com/security/cve/CVE-2025-58181

https://www.suse.com/security/cve/CVE-2025-58190

https://www.suse.com/security/cve/CVE-2026-33186

https://www.suse.com/security/cve/CVE-2026-7374

プラグインの詳細

深刻度: Medium

ID: 321638

ファイル名: suse_SU-2026-2400-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/6/20

更新日: 2026/6/20

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7

パーセンタイル: 98.33

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2025-58190

CVSS v3

リスクファクター: Medium

基本値: 5.3

現状値: 4.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:kubevirt-virtctl, p-cpe:/a:novell:suse_linux:kubevirt-manifests

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/15

脆弱性公開日: 2025/10/23

参照情報

CVE: CVE-2025-47911, CVE-2025-47913, CVE-2025-47914, CVE-2025-58181, CVE-2025-58190, CVE-2026-33186, CVE-2026-7374

SuSE: SUSE-SU-2026:2400-1