SUSE SLES15 セキュリティ更新プログラム:azure-storage-azcopy(SUSE-SU-2026:2466-1)

high Nessus プラグイン ID 321919

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:2466-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

azure-storage-azcopy用のこの更新プログラムでは、次の問題が修正されています

10.32.4 に更新:

- CVE-2025-47907:database/sql:Rows.Scan から返された正しくない結果(bsc#1247720)。
- CVE-2026-33186:google.golang.org/grpc:HTTP/2 の不適切な検証による承認バイパス:
path 擬似ヘッダー(bsc#1260307)。
- CVE-2026-33814:golang.org/x/net/http2:不良なSETTINGS_MAX_FRAME_SIZEが与えられた場合の HTTP/2 トランスポートの無限ループ(bsc#1265841)。
- CVE-2026-34986:github.com/go-jose/go-jose/v4:暗号化された鍵がない細工された JWE 入力が、サービス拒否を引き起こす可能性があります(bsc#1262962)。
- CVE-2026-39821:golang.org/x/net/idna:ASCII のみの Punycode でエンコードされたラベルを拒否できないことにより、検証バイパスと権限昇格(bsc#1266657)が可能になります。

変更:

* 32 ビットの Windows ARM7 ビルドを削除します
* 他の未解決の CVE (bsc#1266657、 CVE-2026-39821) をカバーします
* otel sdk を更新
* パッケージを更新し、パッチバージョンを追加します
* version.go を更新してください
* エラーフォーマット
* 変更を検証するためのテストを追加します
* 変更ログを更新
* 意図的なパニックを変更して、エラーを返します
* MSRC の場合に関する問題を修正します #110341
* 問題のあるパッケージを更新してください
* cloud.google.com/go/storage v1.45.0 -> v1.50.0
* golang 1.24.13 -> 1.25.8
* golangci-lint v1.64.8 -> v2.11.3
* フォルダトラッカーが既存のフォルダと --overwrite=ifSourceNewer でパニックを発生させる回帰を修正しました。(#3403)
* stdin を介してキャンセルが機能しない回帰を修正しました(#3373)
* プロセスチェッカーで nil ロガーへのロギングからセグメンテーション違反に突入した回帰を修正しました。(#3384)
* スレッドセーフティを導入することによって、共有メタデータリソースへの同時アクセスによる競合状態パニックを修正しました。(#3341)
* --posix-properties-style がコピーフローを正しくチェーンしていなかったバグを修正しました。(#3401)
* --list-of-files と --include-pattern の並行使用が機能しなくなった回帰を修正しました。(#3389)
* golang 1.24.11 -> 1.24.13
* AMLFS スタイル posix メタデータのサポートを追加しました。(#3317)
* メタデータキー hdi_isfolderすべて小文字で送信されない場合があり、プロパティを取得する際にサービス側で予期しない挙動が起こるバグを修正しました。(#3312)
* --put-md5 フラグが機能するように、ベンチマークコマンドの誤字を修正しました。(#3324)
* ネットワークエラーが再試行されないバグを修正しました。(#3338)
* 予期しないリクエストが syslog に記録されるバグを修正しました。(#3339)
* 既存のフォルダーが再作成されるバグを修正しました。(#3295)
* README を更新して、サポートされているソースと宛先のペアと承認メカニズムを明確にしました。(#3213)
* wiki が生成したドキュメントのフォーマットを更新し、読みやすさを向上させました。(#3311)
* https://azcopyvnext-awgzd8g7aagqhzhe.b02.azurefd.net/are で始まる AzCopy ダウンロード URL はサポートされなくなりました。
* コピーと再開でスループットが表示されないバグを修正しました。(#3271)
* S3 および GCP 転送でパニックになるバグを修正しました。(#3273)
* コピー、同期、再開、ログイン、ログアウト、ログインステータスのビジネスロジックを azcopy パッケージにリファクタリングしました。
* golang 1.24.4 -> 1.24.11
* golang.org/x/crypto 0.40.0 -> 0.45.0
* Azure Files SMB -> Azure Files NFS 転送。
* Azure Files NFS 共有のシンボリックリンクサポート。
* Azure Files NFS 共有のシンボリックリンクのサポートを導入しました。
* シンボリックリンクは、コマンドラインのフラグに基づいて、保存、スキップ、またはたどることができます。
* --check-version フラグを追加し、バージョンチェックをオプトイン機能にしました。(#3173)
* --include-root フラグにより、 --preserve-XXXX フラグと組み合わせて使用した場合に、顧客がルートプロパティを保持できるようになりました。(#3163)
* Golang 1.24.4 -> 1.24.6 (#3154)
* さまざまなネットワークエラーで再試行するバグを修正しました。(#3237) (#3252) (bsc#1266311)
* エンコードされた文字が含まれているパスで削除が機能しないバグを修正しました。(#2977)
* ジョブが再開したときに、以前失敗したジョブの出力が生成されないバグを修正しました。(#3103)
* ソース上の EntraID による FileBlob 転送が、間違ったサービスバージョンを渡すバグを修正しました。(#3242)
* Windows 上の WSAETIMEDOUT で再試行するバグを修正しました。(#3195)
* フォルダ作成トラッカーのバグを修正しました。このバグは、フォルダ作成の呼び出しが必要以上に頻繁に発生していました。(#3151)
* バグを修正して、ログから x-ams-credential を編集。(#3206)
* 古いバージョンの Az.Account で powershell ログインが失敗するバグを修正しました。(#3191)
* シンボリックリンクの直接ターゲットが、シンボリックリンクではなくファイルとして扱われるバグを修正しました。(#3222)
* トラバーサー関連コードを独自のパッケージにリファクタリングしました。(#3251)
* グローバルシングルトンアクセスの代わりにクライアントベースのパターンを使用するように OAuth トークンマネージャーアクセスをリファクタリングしました。(#3260)
* 認証情報管理に関連する未使用のコードを削除しました。(#3260)
* ライフサイクル UI コードを cmd パッケージにリファクタリングしました(#3262)。
* エラー処理コードは、グローバル LCM エラー処理を使用する代わりに、JobMgr に注入されるか、適切に上向きにバブルされます。(#3262)
* AzCopy はデフォルトでバージョンをチェックしなくなりました。(#3173)
* 削除操作で使用できない --exclude-path フラグを修正しました。(#3165)(#3159)
* AzCopyがコピー操作で同時実行値を尊重していなかった回帰を修正しました(#3192)
* 複数の AzCopy プロセスが実行されている場合の警告メッセージの正しくない JSON 出力形式を修正しました。(#3188) (#3182)
* ユーザーの現在のディレクトリでlatest_version.txtが誤って作成されることを修正しました。(#3179)(#3176)
* 宛先認証ポリシーの nil ポインターデリファレンスからの同期操作中の AzCopy のクラッシュを修正しました。(#3186) (#3109) (#3156) (#3175)
* golang 1.24.2 -> 1.24.6 (CVE-2025-47907)(#3154)
* Azure Files (NFS または SMB) に関連する転送の場合、AzCopy ではファイル共有は自動作成されません。
* AzCopy バイナリと最新バージョン情報は、静的 Web サイトではなく Github リリースから配信されます。(#3014)
* REST による Azure Files NFS のサポート。
* サービス対サービスコピーのコピーのソースエラーコードとステータスコードで再試行するサポートを追加しました。(#3105)
* EntraID を使用して Azure Files から Blob Storage へのサービス間コピーのサポートを追加しました。(#3053)
* すでに削除されているファイルをコピーする際のバグを修正しました。
--trailing-dot= 無効化により 404 ではなく間違ったエラーが発生しました。(#3092)
* コンテナ作成に失敗したときの警告メッセージを削除しました。このメッセージは、コンテナを作成するためのアクセス許可が不十分で、コンテナがすでに存在する場合に、誤解を招く可能性があります。(#3045)
* ブロックサイズが帯域幅制限を超えている場合に返されるエラーメッセージを向上しました。(#3051)
* 転送が 10M オブジェクトを超える場合にユーザーに警告します。(#3111)
* 複数の AzCopy プロセスが実行されている場合にユーザーに警告します。(#3128)
* Golang 1.24.2 -> 1.24.4 (#3085)
* REST APIを介したAzure Files NFSのサポート

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるazure-storage-azcopyパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1247720

https://bugzilla.suse.com/1260307

https://bugzilla.suse.com/1262962

https://bugzilla.suse.com/1265841

https://bugzilla.suse.com/1266311

https://bugzilla.suse.com/1266657

https://lists.suse.com/pipermail/sle-updates/2026-June/047440.html

https://www.suse.com/security/cve/CVE-2025-47907

https://www.suse.com/security/cve/CVE-2026-33186

https://www.suse.com/security/cve/CVE-2026-33814

https://www.suse.com/security/cve/CVE-2026-34986

https://www.suse.com/security/cve/CVE-2026-39821

プラグインの詳細

深刻度: High

ID: 321919

ファイル名: suse_SU-2026-2466-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/6/22

更新日: 2026/6/22

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.3

パーセンタイル: 96.81

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2026-33814

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:azure-storage-azcopy, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/19

脆弱性公開日: 2025/8/7

参照情報

CVE: CVE-2025-47907, CVE-2026-33186, CVE-2026-33814, CVE-2026-34986, CVE-2026-39821

SuSE: SUSE-SU-2026:2466-1