概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。
説明
リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:2467-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
この amazon-ssm-agent の更新では、次の問題を修正します
バージョン 3.3.4624.0 への更新:
- CVE-2025-22869: golang.org/x/crypto/ssh: golang.org/x/crypto/ssh の鍵交換でのサービス拒否 (bsc#1239342)。
- CVE-2025-22870: golang.org/x/net/proxy: IPv6 ゾーン ID を使用するプロキシバイパス (bsc#1238702)。
- CVE-2025-47913: golang.org/x/crypto/ssh/agent: キーリストまたは署名リクエストへの応答で予期しないメッセージタイプを受信した場合のクライアントプロセスの終了 (bsc#1253611)。
- CVE-2026-1229: ecc/p384 パッケージの CombinedMult 関数が、特定の入力に対して不正な値を生成します (bsc#1265474)。
- CVE-2026-25934: github.com/go-git/go-git/v5: .pack ファイルと .idx ファイルのデータの整合性値の検証が不適切なため、破損したファイルが消費される可能性があります (bsc#1258095)。
- CVE-2026-39821: golang.org/x/net/idna: ASCII のみの Punycode でエンコードされたラベルを拒否できないことにより、検証バイパスと権限昇格が可能になります (bsc#1266781)。
- CVE-2026-41506: github.com/go-git/go-git/v5: スマート HTTP の複製とフェッチの操作でリダイレクトを追跡した際に発生する HTTP 認証情報の漏洩 (bsc#1264952)。
- CVE-2026-44740: github.com/go-git/go-billy/v5: 多くのコンポーネントで入力が不適切に処理されると、無限ループ、パニック、またはリソース消費を介して DoS が発生する可能性があります (bsc#1267332)。
- CVE-2026-39827: チャネルを拒否するときにメモリリークを呼び出すと、golang.org/x/crypto/ssh で DoS が発生する可能性があります (bsc#1266200)。
- CVE-2026-39828: golang.org/x/crypto/ssh における証明書制限のバイパスの呼び出し (bsc#1266200)。
- CVE-2026-39829: 異常な RSA/DSA パラメーターを呼び出すと、golang.org/x/crypto/ssh で DoS を引き起こす可能性があります (bsc#1266200)。
- CVE-2026-39830: クライアントを呼び出すと、golang.org/x/crypto/ssh の予期しない応答でサーバーのデッドロックを引き起こす可能性があります (bsc#1266200)。
- CVE-2026-39831: golang.org/x/crypto/ssh における FIDO/U2F セキュリティキーの物理的相互作用のバイパス呼び出し (bsc#1266200)。
- CVE-2026-39832: golang.org/x/crypto/ssh/agent でキーを転送する際にドロップされたエージェント制約の呼び出し (bsc#1266200)。
- CVE-2026-39833: golang.org/x/crypto/ssh/agent で強制されていないキー制約の呼び出し (bsc#1266200)。
- CVE-2026-39834: golang.org/x/crypto/ssh における大きなチャネル書き込みでの無限ループの呼び出し (bsc#1266200)。
- CVE-2026-39835: golang.org/x/crypto/ssh の CheckHostKey/Authenticate 中のサーバーパニックの呼び出し (bsc#1266200)。
- CVE-2026-42508: golang.org/x/crypto/ssh/knownhosts の強制されていない @revoked ステータスを介した認証バイパスの呼び出し (bsc#1266200)。
- CVE-2026-46595: golang.org/x/crypto/ssh の VerifiedPublicKeyCallback 権限スキップ強制の呼び出し (bsc#1266200)。
- CVE-2026-46597: バイト演算を呼び出すと、golang.org/x/crypto/ssh でアンダーフローとパニックを引き起こします (bsc#1266200)。
- CVE-2026-46598: 異常な入力を呼び出すと、golang.org/x/crypto/ssh/agent でクライアントパニックを引き起こす可能性があります (bsc#1266200)。
変更:
* golang.org/x/crypto を v0.51.0 から v0.52.0 に更新
* golang.org/x/net を v0.54.0 から v0.55.0 に更新
* BuildSafePath でディレクトリ境界を実施
* ドキュメント出力における Bottlerocket OS の可視性の問題を修正
* go-git を v5.17.1 から v5.19.1 に更新 (bsc#1264952、CVE-2026-41506)。これは、go-billy を v5.8.0 から v5.9.0 にも更新します (bsc#1267332、CVE-2026-44740)
* golang.org/x/net を v0.48.0 から v0.53.0 に更新 (bsc#1266781、CVE-2026-39821)
* sysprep が失敗した場合は終了し、現在の状態を記録します
* 添付されているレガシー cloudwatch プラグインパッケージを削除します
* Go バージョンを 1.25.10 にアップグレードします
* 該当する場合に BuildSafePath を使用します
* systemd サービスファイルに OOM Killer 保護を追加します
* ファイルおよびレジストリインベントリ収集サーバーに対してさらなるサニタイズを適用します
* go-git を v5.17.1 に更新
* レガシー cloudwatch プラグインを廃止します
* 認証情報リフレッシャーの SSM API エラーでネットワークエラーの詳細を保存します
* Go バージョンを 1.25.9 にアップグレードします
* Bottlerocket OS 用の SSM Distributor サポートを追加します
* ssm-cli にフラッシュ認証情報コマンドを実装します
* ログノイズを減らすために、デバッグではなくデバッグとして拒否された ec2messages アクセスをログに記録します
* 認証情報がフラッシュした場合、認証情報リフレッシャーがキャッシュを素早くリフレッシュするようにします
* Greengrass コンポーネント登録を再試行することで回復力を強化します
* エージェントワークスペースの無効化をサポートするために EnforceWorkspaceRootOwnership 構成を追加します
* SSM エージェントのトレーサビリティのために、Windows シャットダウンコマンドに再起動コメントを追加します
* 権限アクセスチェックを更新して、ドキュメント状態ファイルの所有権と権限を検証します
* 占有済みパッケージマネージャーがロックした場合に備えて、インストールとアンインストールの前に読み取り専用バージョンチェックを追加します
* CloudWatch と S3 ログの ANSI 処理を追加します
* go-git を v5.17.0 に、cloudflare/circl を v1.6.3 にアップグレードして、修正します CVE-2026-1229
- systemd-tmpfiles に切り替えて、ランタイムデータを保存します (jsc#PED-14843)
* Go 1.25 コンテナ対応 GOMAXPROCS を無効にして、cgroup ファイル記述子を開いたままにしないようにします
* Go バージョンを 1.25.8 にアップグレードします
* CommandWorkerBufferLimit 構成をドキュメント化します
* Dockerfile にパッケージ更新を含めます
* CloudWatch イベントメッセージ長のしきい値を削減します
* Go バージョンを 1.25.7 にアップグレードします
* github.com/go-git/go-git/v5 を 5.16.5 に更新します (bsc#1258095、CVE-2026-25934)
* greengrass バージョンを更新します
* Golang のバージョンを 1.24.12 に更新します
* golang.org/x/cryptov を v0.37.0 から v0.47.0、golang.org/x/net を v0.39.0 から v0.48.0、golang.org/x/sys を v0.32.0 から v0.40.0 へ更新します (bsc#1253611、CVE-2025-47913)
* 新しいタグを追加して高速タグと低速タグを分割することで、統合テストを分類します
* IP フィールドが空の文字列であり、UII API エラーを引き起こすバグを修正します
* SSM エージェントに登録されていない再起動間でパッチの実行が持続することを許可します
* パラメーター保存値で正しく動作するように ENV_VAR 補間を修正します
* RunCommand ドキュメントの MGS への返信メッセージに失敗した場合の即時再試行を実装します
* ssm-cli get-diagnostics コマンドログ出力を改善します
* EU ソブリンクラウドの DomainJoin エンドポイントをサポート
* ディストリビューターパッケージのデュアルスタック S3 エンドポイントをサポート
* Go バージョンを 1.24.11 にアップグレードします
* UseDualStackEndpoint 構成オプションで初期 IPv6 サポートを追加します
* 数千のネットワークインターフェイスを持つインスタンスの CPU 使用率の問題を修正します
* EC2 ドロップレットリフレッシュを考慮して IMDS リトライカウントを追加します
* MDS モジュールの重複 uid エラーログを修正します
* aws:Domainjoin プラグインのロギングを Log4Net から NLog に更新します
* Go バージョンを 1.24.7 にアップグレードします
* github.com/go-git/go-git/v5 を 5.15.0 に更新します
* golang.org/x/crypto を v0.37.0 に更新します (bsc#1238702、CVE-2025-22870)
* golang.org/x/net を v0.39.0 に更新します
* golang.org/x/sys を v0.32.0 に更新します
* DownloadContent プラグインに EU ソブリンクラウド S3 エンドポイントを追加します
* 構成可能な認証情報ローテーションの最大バックオフ間隔を追加します
* twinj/uuid から google/uuid ライブラリに移行します
* Greengrass へのデプロイ時に、より新しいバージョンのエージェントのインストールを許可します
* 実行パスにある非管理者が実行するコマンドドキュメントを削除する機能を強化します
* シリアルポートスキップファイルからのデバッグがないために発生する macOS 認証情報リフレッシャーテストの問題を修正します
* デバッグ SSM エージェントビルドのカスタム証明書使用のテスト可能性を強化します
* 起動からシリアルポートを分離し、認証情報リフレッシャーシリアルポートロギングを追加します
* GlobalEnhancedTelemetryEnabled 構成を README に追加します
* cloudwatch ログエンドポイント構成をエージェントのオプション設定に追加します
* Greengrass 構成バージョンをアップデートします
* ドキュメント状態ファイルを処理する前にファイル権限チェックを追加します
* AWS ドキュメント補間 ENV_VAR タイプを環境変数として保存します
* 権限のないユーザーとしてローカルの cli を実行するときに明示的なエラーが投げられます
* テレメトリ動的構成フォルダー権限を強化します
* HandshakeTimeout に対する構成オプションを追加します
* ユニットテストを改善します
* テレメトリログとメトリクスを発行するためのセットアップを追加します
* テレメトリに出力するエラーログの最初の選択を追加します
* ビルドスクリプトのチェックスタイルとインポート組織を簡素化します
* golang.org/x/net を v0.37.0 から v0.38.0 に更新します
* エージェント休止状態の理由が EC2 システムログに記録されます
* EC2Detector および IMDS EC2 ステータス検出結果のメトリクスを追加します
* Linux DomainJoin プラグインパラメーター KeepHostName を変更し、ブール値と文字列の両方を受け入れるようにします
* GoLang バージョンを 1.23.8 にアップグレードします
* golang.org/x/crypto を v0.32.0 から v0.36.0 に更新します (bsc#1239342、CVE-2025-22869)
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける amazon-ssm-agent パッケージを更新してください。
プラグインの詳細
ファイル名: suse_SU-2026-2467-1.nasl
エージェント: unix
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L
脆弱性情報
CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:amazon-ssm-agent
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: Exploits are available
参照情報
CVE: CVE-2025-22869, CVE-2025-22870, CVE-2025-47913, CVE-2026-1229, CVE-2026-25934, CVE-2026-39821, CVE-2026-39827, CVE-2026-39828, CVE-2026-39829, CVE-2026-39830, CVE-2026-39831, CVE-2026-39832, CVE-2026-39833, CVE-2026-39834, CVE-2026-39835, CVE-2026-41506, CVE-2026-42508, CVE-2026-44740, CVE-2026-46595, CVE-2026-46597, CVE-2026-46598
SuSE: SUSE-SU-2026:2467-1