openSUSE 16 セキュリティ更新:coturn(openSUSE-SU-2026:21184-1)

medium Nessus プラグイン ID 324885

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:21184-1 アドバイザリで言及されています。

コターンの変更:

- バージョン 4.14.0 新規に更新してください
* prometheus-client-c への依存関係を排除
* prometheusクライアントのHTTPSサポート(オプション)
* redis の TLS サポート - managed redis と互換性を持った(オプション)。
* 401 認証されていない応答のレート制限 - coturn サーバーからの反射攻撃を低減させます。これは実験的な機能であり、本番環境規模のデプロイメントや大規模なDDoS攻撃では完全にはテストされていません。新しいプロメテウス カウンターは、実際の行動やパフォーマンスに光を当てるのに役立つはずです。この機能はデフォルトではオフになっています。
変更点
* hex デコード前に sqlite_get_user_key での hmackey の長さを検証します。
* out-of-tree パッチを追加して、非推奨の OpenSSL 1.1.1を復元します。
* Redis接続用のオプションのTLSトランスポートを追加します。
* リレースレッドオーバーライドを修正します。
* prometheus ホットパスカウンターを 1 秒に 1 回フラッシュし、ロック競合を kill します。
* base64_decode での signed-char インデックスの領域外読み取りを修正します。
* ベンダーのローカルソースから Prometheus エクスポーターを構築します。
* プロム https.
* レルムクォータデータの競合と警告を修正します。
* UDP 401 承認されていない応答のソースごとのレート制限を追加します

- バージョン 4.13.1 への更新
* stun_is_challenge_response_str での NULL 終端server_name
* ピア IP チェックの前に、すべての IPv4-in-IPv6 エンコーディングを正規化します。
* coturn 自身のデータベースバックエンドエンドポイントをリレーピアとして自動拒否します。
* デフォルトでは、link-local / ULA / site-local リレーピアを拒否します。

- バージョン 4.13.0 への更新
* あらゆる場所にアトミックをラップします。
* multiplex-peer UDP バッチフラッシュの sendmmsg ストライドバグを修正します。
* オブジェクトごとのタイマーの代わりにスレッドごとのスイープを介して TURN 権限/チャネルを獲得。
* 出力 sendmmsg/UDP-GSO バッチ処理を観察するための --udp-sendmmsg-log を追加します。
* recvmmsg/sendmmsg UDP バッチサイズを Prometheus メトリクスとして公開します
* recvmmsg ファストパスを共有ファンインソケットに制限します(便利なスタンドアロン --udp-recvmmsg にします)。
* Linux では、デフォルトで --udp-recvmmsg を有効にします。
* セキュリティ強化:ポート解析、管理者のブルートフォーススロットル、認証情報ログの編集、一定時間の比較、OAuth 境界チェック、権限上限(#1932)。
* stunclient に連続遅延モードを追加します。
* test_redis_formatリンク障害を修正します。
* 構成 MANPREFIX の誤字を修正します。
* sqlite3 の依存関係の欠落を修正します。
* UDP 受信バッファ所有権を修正します。

- バージョン 4.12.0 への更新
* khash を最新バージョン(#1919)に更新してください。
* readme を更新し、最新の変更に一致させます(#1920)。
* drop-invalid-packets および response-origin-only-with-rfc5780.* Multiplexpeer に関するドキュメントを更新します(#1916)。
* TTL/TOS 型変換を修正します(#1915)。
* turnutils_uclient:送信スレッドプール + UDP-GSO 送信バッチ + recv_ppsレポート(#1913)。
* recvmmsg パスによってもたらされたメモリリークを修正します(#1912)。
* turnutils_uclient:マルチスレッドリスナー(recv)プール。
* examples/turnserver.conf:CLI オプションの説明を更新します。
* turnutils_uclient:Linux recvmmsg 受信パス + より大きなSO_RCVBUF(#1910)。
* UDP-GSO 送信パスを追加します(--udp-gso)(#1907)。
* turnutils_peer:ドレインループのある Linux ファストパス、recvmmsg/sendmmsg、U(#1908)。
* リレー:recvmmsg(#1906)。
* fuzzing:HTTP EOH 辞書エントリに対して 16 進数エスケープを使用します。
* turnserver の man ページを現在の CLI オプションと同期します(#1903)。
* turnserver --helpから古い --ne オプションを削除します(#1904)。
* CodeQLのアクセス許可、カテゴリ、手動ビルドモードを復元します。

- バージョン 4.11.0 への更新
* Filc ハーネスおよびポインター typedefs(#1896)。
* turnutils_uclient(#1894)のロードジェネレーターモード。
* TURN データパスハンドラーのキャッシュホットルックアップ(#1893)。
* ヘッダーのインライン get_ioa_addr_len() (#1891)。
* パケットごとのリレーホットパスから 2 つの冗長チェックを取り除きます。
* turn_server_get_engine() をパケットごとのホットパスから持ち上げます。
* 整合性ヘルパーの fuzz カバレッジを追加します(#1888)。
* 決定論的なチャレンジ-レスポンスビルダーを FuzzStun に追加します。
* fuzz 初期化子のシードアドレスマッピングテーブル(#1885)。
* is_httpおよびまれな STUN 属性の fuzz カバレッジのブロックを解除します。
* HTTP解析の修正(#1882)。
* パーサーにおける領域外HTTP検出(#1877)。
* 起動時にリレースレッドごとにログ行を削除します(#1876)。
* Unity ベースのユニットテストスキャフォールディングを追加します(#1875)。
* 構成udp_relay_servers_numberドロップし、デッドな UDP id 空間をクリーンアップします(#1874)。
* ビルド失敗を修正:Linux で recvmmsg() の_GNU_SOURCEを定義します。
* MESSAGE-INTEGRITY が検証された後にのみ、セッションの生成元を固定します。
* 起動時に不正な形式の allowed/denied-peer-ip を中止します(#1872)。
* Redis DB ドライバーでの書式文字列インジェクションを修正します(#1870)。
* STUN MESSAGE-INTEGRITY HMAC に対して一定時間比較を使用します。

- バージョン 4.10.0 への更新
* STUN 表示に対する応答バッファ割り当てをスキップします。
* WebRTC 認証最適化パス(#1860)。
* post_parse() の NULL ポインターデリファレンスを修正します(#1859)。
* シードコーパスを拡張します(#1858)。
* DTLS/UDP リスナー用の Linux 専用「recvmmsg」受信パスを追加します。
* Linux ビルドの警告を修正します(#1853)。
* perf:スレッドごとのsuper_memoryアロケーターから mutex を削除します。
* NEV_UDP_SOCKET_PER_THREADネットワークエンジンのみを保持します。
* OAuth トークンデコーディングのスタックバッファオーバーフローを修正します。
* 廃止予定の TLSv1/1.1 に関する構成ファイルおよび Readme ファイルを更新してください。
* perf:認証メッセージディスパッチで mutex を排除し、コピーを削減します(#1843)。
* perf:帯域幅追跡のために、mutex_bpsロックフリーのアトミックで置き換えます。
* stun_get_message_len_str() 原因のuint16_t切り捨てオーバーフローを修正します(#1844)。
* 修正: 4.7.0 以降失われた RFC 3489(古い STUN)の後方互換性を復元します(#1839)。
* uint16_t を使用するようにポート識別子を変更します(#1752)。
* 修正:run_tests.sh、db なし(#1834)。
* セッション使用率レポートのコールバックを TURN データベースドライバーに追加します。
* 使用前に変数を初期化します(#1832)。
* perror をロギングで置換します(#1831)。
* CLI インターフェイスはデフォルトで無効です。
* 増幅係数を減らすために、応答メッセージの理由文字列を無効にします。
* perf:最悪のシナリオの最適化を改善します。
* コンパイル警告を修正します(#1822)。

CVE-2026-27624(boo#1258847)および CVE-2025-69217(boo##1255744)に対する修正

- バージョン 4.9.0 への更新
* 複数のセキュリティ修正。
* Web 管理者パスワードチェックの修正。
* 廃止予定の openssl API のクリーンアップ。
* CVE-2026-27624 の修正:IPv4 マップ IPv6 を使用してローカルホストと IP 範囲ブロックをバイパスします。 boo#1258847
- バージョン 4.8.0 への更新
* リスナースレッドでのパケット検証の高速化により、DDoS 攻撃への対処が改善されます。
* sock-buf-size でソケットバッファサイズを構成できるようにします。
* メモリリークとクラッシュの可能性に対処します。
* CVE-2025-69217に対処するための乱数の使用を向上します。
boo#1255744

- バージョン 4.7.0 への更新
* デフォルトでセキュリティを向上するために、正常なデフォルトにするための互換性に影響する変更
- openssl 1.1.1 および 3.x のみをサポートします。
- 廃止されたオプションをクリーンアップします - スクリプトにこれらがある場合、turnserver は起動に失敗します。
- 逆ロジックを回避するためのリバースSOFTWARE_ATTRIBUTE_OPT - 現在は明示的に有効化する必要があります。
- response-origin-only-with-rfc5780 を廃止します。
- no-stun-backward-compatibility をデフォルトオンに戻します。
* TLSv1 および TLSv1_1 は現在オプションです(オフにする必要はありません)。
* マイナーなバグ修正と回帰。
* prometheus の最新バージョンのサポートを改善しました。

- coturn にアップグレードしてください 4.6.3
* リリースのハイライト:
- 複数のメモリ修正
- 新しい排水機能
- Redis の新しいバージョンに対するサポートの改善
- 生公開鍵のサポートを追加します

* 完全な変更リスト
- clang-tidy、include-what-you-use、msvc-analyzer github アクションを追加します
- CodeQL ワークフローの追加
- 欠落している関数の turn_random_number() のプロトタイプを追加
- セッション ID を一部のログラインに追加しました
- Amazon Linux のサポートを追加し、tests.yml の名前を変更しました
- Prometheus APT が利用不可の警告を追加
- コンパイラサニタイザーでテストを実行する github アクションを追加します
- セキュリティスキャナーの問題に対処するための ns_turn_allocation.* の追加リファクタリング
- MariaDB サポートを README.md に追加します
- 新しいドレイン機能を追加
- example フォルダの turn.conf に prometheus 設定提案を追加
- db ファイルの clang-tidy 警告に対処
- api の変更によって導入された一部のビルドの問題に対処します
- 生公開鍵のサポートを追加します
- すべての条件に常に中括弧が付くように、clang-format の InsertBraces コマンドを追加します
- 警告を追加し、no-tls オプションが使用される場合は Web 管理を無効にします
- prometheous が見つからない場合の cmake メッセージの文言を調整します。
- redis へのユーザー名による認証を許可します
- ブランチに関わらず、常に lint を実行します
- さまざまな関数でサーバー変数の nullptr 逆参照を回避します
- udp_create_server_socket の潜在的な nullptr 逆参照を回避します
- get_bold_admin_title での文字列の終端を越えた読み取りを回避します
- 初期化されていない可能性のあるデータをキーファイルaes_128書き込むことを回避します
- stunclient.c の変数を bool に変更しました
- 最低限必要な cmake バージョンを以下に変更します 3.16
- に対して printf() を TURN_LOG_FUNC() に変更します --no-stdout-log
- さまざまなマップ関数を変更し、0、1、または -1 を一貫性なく返すのではなく、bool 値を返すようにします
- add_static_user_accountでの割り当て結果の確認
- handle_logon_request での calloc の結果を確認します
- del_alt_server で malloc の結果を確認します
- mongo_set_realm_option_oneで malloc の結果を確認します
- send_message_to_redis で malloc の結果を確認します
- string_list_addで malloc の結果を確認します
- ch_map_get での realloc および calloc の結果がチェックされます
- CMake: nearby の変数を宣言します
- configure:データファイルは実行可能であってはなりません
- STUN フィンガープリント用のマジックナンバーを定義
- デッドコードを削除
- 未使用の変数を削除します
- Doc:フローチャートを追加
- AWSへのcoturnの簡単なインストール
- rsalt を 2 増やして、generate_enc_password におけるバッファオーバーフローを修正します
- libressl 3.6+ でビルドを修正します
- clang 形式の lint の警告を修正します
- cli 認証を修正します
- libevent での Cmake の検索の問題を修正します
- cmake が prometheus を見つけられることを修正します( #1304 を修正)
- 継続的インテグレーションからのコンパイラ警告を修正します
- rfc5769check アプリにおける無料の警告中の const を修正します
- Cygwin 環境の make コマンドのエラーを修正します
- lint エラーを修正するためにフォーマットを修正します
- コメントに関する lint の苦情を修正します
- lint エラーを修正します
- mainrelay.c の linting エラーを修正します
- make lint を修正
- memcpy len チェックを修正しますstun_is_challenge_response_str
- pgsql_reread_realms のメモリリークを修正します
- netengine.c のメモリリークを修正します
- rfc5769check.c でのメモリ漏洩を修正します
- http_server.c のメモリ漏洩を修正します
- mingw ビルドを修正します
- fix_stun_check_message_integrity_str で欠如している strncpy を修正します
- rfc5769check 上の goto ラベルの msvc アナライザーエラーを修正します
- 古いコンテナイメージによる nodejs/glibc の問題を修正します。
- no-tls 警告の誤字を修正します
- 非 null を期待する関数に渡される潜在的な NULL を修正します
- 代替サーバーの削除における再帰呼び出しを修正
- 「RESERVATION-TOKEN」が失敗した場合に「create_relay_connection」に対して正しいエラーコードを返すのを修正します
- rpm バージョンスクリプトを修正します
- 任意の github アクションの実行cmake.ymlを修正します
- 入力ミスを修正します
- GH アクションチェックアウトバージョンを含む ubuntu 16 ビルドを v3 に修正します
- カスタム prometheus http ハンドラーを実装します
- 使用するものを含める
- openssl-1.0.1 の代わりに amazonlinux:2 に openssl-1.1.1 をインストールします
- malloc は、文字列終端子にスペースを割り当てるようになりました
- memset user_db、構成ファイルの読み取り後ではなく、構成ファイルの読み取り前に
- 拒否された IP に対する coturn ログでのセッション ID の欠落 - 1330
- hiredis_libevent2コードを共通からリレーに移動します
- IPv6 が利用できる場合にのみMHD_USE_DUAL_STACKを設定します
- 印刷バージョンのみ、余分な行なし
- コードの ifdefs を削減します:TURN_NO_PROMETHEUS
- リファクタリング:peer_input_handle
- コードの再フォーマット
- CMakeLists.txt から実装されていないテストフォルダー参照を削除します
- HeapAlloc を malloc で置換
- srand/rand を srandom/random で置換
- 400 応答を HTTP リクエストに返します
- 変更時に Docker ビルドを除くすべての CI を実行します
- macOS 検出マクロを簡素化
- codeql のワークフローを簡素化する
- strncpy が size_t を返しません
- 複合アクションに抽出された Ubuntu ビルド依存関係
- フローチャートの更新
- libtelnet を更新します
- lukka/run を更新
- 更新 SQLite.md
- turnserver.conf を更新します listening-ip に関する例
- turnserver.spec を更新します
- vcpkg.json の更新バージョン
- 合計数の代わりにアクティブな CPU 数を使用
- ns_turn_msg.c 内の関数に対して int の代わりに bool を使用します
- turnutils_uclient プログラムに対して int に対して bool を使用します
- 必要に応じて calloc を使用し、通常のバッファ初期化が動作する場合は memset を回避します
- Windows:ネットワークインターフェイスが起動しているときのみ、バインドを試行します
- ワークフローの整理整頓

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける coturn、coturn-devel および/または coturn-utils パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1255744

https://bugzilla.suse.com/1258847

https://www.suse.com/security/cve/CVE-2025-69217

https://www.suse.com/security/cve/CVE-2026-27624

プラグインの詳細

深刻度: Medium

ID: 324885

ファイル名: openSUSE-2026-21184-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/7/2

更新日: 2026/7/2

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.3

パーセンタイル: 51.19

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2026-27624

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:coturn, p-cpe:/a:novell:opensuse:coturn-devel, p-cpe:/a:novell:opensuse:coturn-utils, cpe:/o:novell:opensuse:16.0

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/30

脆弱性公開日: 2025/12/30

参照情報

CVE: CVE-2025-69217, CVE-2026-27624