SUSE SLED15 / SLES15 セキュリティ更新:7zip(SUSE-SU-2026:2696-1)

high Nessus プラグイン ID 324876

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:2696-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

7zip 用のこの更新では、次の問題を修正しています

26.01 に更新:

- CVE-2026-48092:ヒープメモリの漏洩による 32 ビットビルドの情報漏洩(bsc#1267858)。
- CVE-2026-48095:NTFS圧縮ストリームバッファの割り当て不足によるヒープバッファオーバーフロー(bsc#1267421)。
- CVE-2026-48101:UEFI カプセルパーサーの初期化されていないメモリによる情報漏洩(bsc#1267859)。
- CVE-2026-48102:細工された UDF イメージによる情報漏洩とサービス拒否(bsc#1267860)。
- CVE-2026-48103:off-by-one ヒープ領域外読み取り(bsc#1267861)。
- CVE-2026-48104:SquashFS アーカイブハンドラーにおける初期化されていないヒープ読み取り(bsc#1267862)。
- CVE-2026-48111:ParseDepedencyExpression 関数における off-by-one 領域外読み取り(bsc#1267863)。
- CVE-2026-48112:BSD SYMDEF パーサーにおけるヒープ領域外読み取り(bsc#1267864)。

変更:

* Linux バージョンの 7-Zip は、huge page(2 MB ページ)を使用できます。7z/xz/LZMA/LZMA2 圧縮の圧縮速度を 10% 向上させることができます。
* 新しい -spo[d|c|r] スイッチが、アーカイブ抽出の出力ディレクトリに対するパス生成モードを指定します。出力ディレクトリパスは、-o{dir_path}スイッチで指定されたパスと、アンパックされるアーカイブの名前から生成されます。
-spod:Linux/Posix/macOSの場合:-o{dir_path}は、出力ディレクトリへの直接パスを指定します。{dir_path} の中のアスタリスク(*)文字は、アーカイブ名に置き換えられません。
-spoc : 7-Zip は、-o{dir_path} で指定されたパスをアーカイブ名と連結して、出力ディレクトリへの最終的なパスを形成します。
-spor : 7-Zip は、-o{dir_path} で指定されたパスのアスタリスク (*) 文字をアーカイブ名に置き換えます。
これはデフォルトのオプションです。
* ZIP、CPIO、RAR、UFD、QCOW、Compound のコードを改善。
* 7-Zip File Manager:ファイルリストのソート順序を改善しました。
ファイル名をセカンダリソートキーとして使用します:
* 7-Zip File Manager:64 を超える CPU スレッドを搭載したシステムをサポートするためにベンチマークを改善しました。
* バグ修正:7-Zip が、スパースファイルを含む TAR アーカイブを適切に抽出できませんでした

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける 7zip パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1267421

https://bugzilla.suse.com/1267858

https://bugzilla.suse.com/1267859

https://bugzilla.suse.com/1267860

https://bugzilla.suse.com/1267861

https://bugzilla.suse.com/1267862

https://bugzilla.suse.com/1267863

https://bugzilla.suse.com/1267864

https://lists.suse.com/pipermail/sle-updates/2026-June/047736.html

https://www.suse.com/security/cve/CVE-2026-48092

https://www.suse.com/security/cve/CVE-2026-48095

https://www.suse.com/security/cve/CVE-2026-48101

https://www.suse.com/security/cve/CVE-2026-48102

https://www.suse.com/security/cve/CVE-2026-48103

https://www.suse.com/security/cve/CVE-2026-48104

https://www.suse.com/security/cve/CVE-2026-48111

https://www.suse.com/security/cve/CVE-2026-48112

プラグインの詳細

深刻度: High

ID: 324876

ファイル名: suse_SU-2026-2696-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/7/2

更新日: 2026/7/2

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.9

パーセンタイル: 99.36

CVSS v2

リスクファクター: High

基本値: 9.4

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:C

CVSS スコアのソース: CVE-2026-48092

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:7zip

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/30

脆弱性公開日: 2026/6/4

参照情報

CVE: CVE-2026-48092, CVE-2026-48095, CVE-2026-48101, CVE-2026-48102, CVE-2026-48103, CVE-2026-48104, CVE-2026-48111, CVE-2026-48112

IAVA: 2026-A-0525

SuSE: SUSE-SU-2026:2696-1