SUSE SLED15/SLES15 のセキュリティ更新: ffmpeg-4 (SUSE-SU-2026:2445-1)
high Nessus プラグイン ID 321694
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:2445-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。この ffmpeg-4 の更新では、次の問題を修正します
バージョン 4.4.7 への更新:
- CVE-2023-6601: HLS の安全でないファイル拡張子のバイパス (bsc#1220545)。
- CVE-2024-35366: FFmpeg n6.1.1 は整数オーバーフローです。libavformat モジュール内の sbgdec.c の parse_options 関数に脆弱性が存在します。特定のオプションを解析する際に、ソフトウェアが i (bsc#1234030) を適切に検証しません。
- CVE-2025-1594: コンポーネント AAC Encoder のファイル libavcodec/aacenc_tns.c の ff_aac_search_for_tns 関数に含まれるスタックベースのバッファオーバーフロー (bsc#1237561)。
- CVE-2025-9951: jpeg2000dec のヒープベースのバッファオーバーフロー (bsc#1249393)。
- CVE-2025-10256: Firequalizer フィルターにおける NULL ポインターデリファレンス (bsc#1249431)。
- CVE-2025-63757: フィルター処理されたピクセル値の蓄積により、整数オーバーフローを引き起こす可能性があります (bsc#1255392)。
- CVE-2026-30997: 領域外読み込みによるサービス拒否 (bsc#1262047)。
- CVE-2026-40962: 不適切な CENC サブサンプル境界チェックにより、整数オーバーフローを引き起こす可能性があります (bsc#1262237)。
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1220545
https://bugzilla.suse.com/1234030
https://bugzilla.suse.com/1237561
https://bugzilla.suse.com/1249393
https://bugzilla.suse.com/1249431
https://bugzilla.suse.com/1255392
https://bugzilla.suse.com/1262047
https://bugzilla.suse.com/1262237
https://lists.suse.com/pipermail/sle-updates/2026-June/047420.html
https://www.suse.com/security/cve/CVE-2023-6601
https://www.suse.com/security/cve/CVE-2024-35366
https://www.suse.com/security/cve/CVE-2024-35368
https://www.suse.com/security/cve/CVE-2024-36618
https://www.suse.com/security/cve/CVE-2025-10256
https://www.suse.com/security/cve/CVE-2025-1594
https://www.suse.com/security/cve/CVE-2025-59728
https://www.suse.com/security/cve/CVE-2025-63757
https://www.suse.com/security/cve/CVE-2025-9951
プラグインの詳細
深刻度: High
ID: 321694
ファイル名: suse_SU-2026-2445-1.nasl
バージョン: 1.2
タイプ: Local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2026/6/20
更新日: 2026/6/22
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2026-40962
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.7
Threat Score: 7.2
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:A/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N
CVSS スコアのソース: CVE-2025-59728
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:libavcodec58_134, p-cpe:/a:novell:suse_linux:ffmpeg-4-private-devel, p-cpe:/a:novell:suse_linux:libavfilter7_110, p-cpe:/a:novell:suse_linux:ffmpeg-4-libavutil-devel, p-cpe:/a:novell:suse_linux:ffmpeg-4, p-cpe:/a:novell:suse_linux:libavutil56_70, p-cpe:/a:novell:suse_linux:libpostproc55_9, p-cpe:/a:novell:suse_linux:ffmpeg-4-libswscale-devel, p-cpe:/a:novell:suse_linux:libswscale5_9, p-cpe:/a:novell:suse_linux:libavformat58_76, p-cpe:/a:novell:suse_linux:libswresample3_9, p-cpe:/a:novell:suse_linux:ffmpeg-4-libavfilter-devel, p-cpe:/a:novell:suse_linux:ffmpeg-4-libavformat-devel, p-cpe:/a:novell:suse_linux:ffmpeg-4-libavdevice-devel, p-cpe:/a:novell:suse_linux:libavresample4_0, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:ffmpeg-4-libavcodec-devel, p-cpe:/a:novell:suse_linux:ffmpeg-4-libswresample-devel, p-cpe:/a:novell:suse_linux:ffmpeg-4-libavresample-devel, p-cpe:/a:novell:suse_linux:ffmpeg-4-libpostproc-devel, p-cpe:/a:novell:suse_linux:libavdevice58_13
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/6/18
脆弱性公開日: 2024/8/8
参照情報
CVE: CVE-2023-6601, CVE-2024-35366, CVE-2024-35368, CVE-2024-36618, CVE-2025-10256, CVE-2025-1594, CVE-2025-59728, CVE-2025-63757, CVE-2025-9951, CVE-2026-30997, CVE-2026-40962
SuSE: SUSE-SU-2026:2445-1