openSUSE 16 セキュリティ更新 : go1.26-openssl (openSUSE-SU-2026:21254-1)

critical Nessus プラグイン ID 326021

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:21254-1 アドバイザリで言及されています。

go1.26.4 (bsc#1255111) に更新。

セキュリティの問題を修正:

- CVE-2026-27140: cmd/go: cgo と SWIG を使用する際のトラストレイヤーバイパス (bsc#1261653)。
- CVE-2026-27143: cmd/compile: バインドチェック削除後に起こり得るメモリ破壊 (bsc#1261654)。
- CVE-2026-27144: cmd/compile: no-op インターフェース変換が重複チェックをバイパス (bsc#1261655)。
- CVE-2026-27145: crypto/x509: 候補のホスト名の分割を 1 回だけ行う (bsc#1267450)。
- CVE-2026-32280: crypto/x509: チェーン構築中の予期しない作業 (bsc#1261656)。
- CVE-2026-32281: crypto/x509: 非効率的なポリシー検証 (bsc#1261657)。
- CVE-2026-32282: os:「Root.Chmod」は、Linux 上で root からのシンボリックリンクをたどることができる (bsc#1261658)。
- CVE-2026-32283: crypto/tls: 複数の鍵更新ハンドシェイクメッセージにより、接続がデッドロックする可能性がある (bsc#1261659)。
- CVE-2026-32288: archive/tar: 旧形式の GNU スパースマップを解析する際の無制限割り当て (bsc#1261660)。
- CVE-2026-32289: html/template: JS テンプレートリテラルコンテキストが不適切に追跡される (bsc#1261661)。
- CVE-2026-33810: crypto/x509: ワイルドカードドメインに適切に適用されない DNS 制約を除外 (bsc#1261662)。
- CVE-2026-33811: net: 長い「CNAME」応答の処理時のクラッシュ (bsc#1264508)。
- CVE-2026-33814: net/http: 不正な「SETTINGS_MAX_FRAME_SIZE」が指定された場合の HTTP/2 トランスポートの無限ループ (bsc#1264506)。
- CVE-2026-39817: cmd/go:「go tool pack」が出力パスをサニタイズしない (bsc#1264505)。
- CVE-2026-39819: cmd/go:「go bug」が予測可能な一時ファイル名のシンボリックリンクをたどる (bsc#1264504)。
- CVE-2026-39820: net/mail:「consumeComment」での二次的な文字列連結 (bsc#1264503)。
- CVE-2026-39823: html/template: メタコンテンツ URL エスケープのバイパスによる XSS (bsc#1264509)。
- CVE-2026-39825: net/http/httputil:「ReverseProxy」が「urlmaxqueryparams」パラメーター数を超えるクエリを転送する (bsc#1264500)。
- CVE-2026-39826: html/template: エスケープのバイパスによる XSS (bsc#1264507)。
- CVE-2026-39836: net: Windows で「NUL」バイトを処理する際の「Dial」および「LookupPort」でのパニック (bsc#1264501)。
- CVE-2026-42499: net/mail:「consumePhrase」での二次的な文字列連結 (bsc#1264502)。
- CVE-2026-42501: cmd/go: 悪意のあるモジュールプロキシがチェックサムデータベースをバイパスする可能性があります (bsc#1264499)。
- CVE-2026-42504: mime:「WordDecoder.DecodeHeader」での二次時間の複雑度 (bsc#1267442)。
- CVE-2026-42507: net/textproto: 任意の入力がエスケープなしでエラーに含まれる (bsc#1267444)。

その他の更新およびセキュリティ修正:

- Go パッケージに「binutils-gold」依存関係が欠落している (bsc#1170826)。
- サブパッケージ「go1.x-libstd」の「std」ライブラリ「.so」参照を削除 (jsc#PED-1962)。
- 「libalternatives」は「suse_version >= 1610」の場合のみ使用し、それより古いディストリビューションでは「update-alternatives」のサポートを維持します。
- 「libalternatives」ビルド向けの「update-alternatives」移行パスを削除。
- SLE16.1 および Tumbleweed で「libalternatives」を有効化 (bsc#1245878)。
- go1.26 の「update-alternatives」への依存関係を削除 (bsc#1264395)
- タグ付けされた「go1.26.3-1-openssl-fips」(jsc#SLE-18320) で、「go1.25-fips-release」ブランチからのバージョン 1.26.3 カットに更新してください。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける go1.26-openssl、go1.26-openssl-race パッケージをアップデートしてください。

参考資料

https://bugzilla.suse.com/1170826

https://bugzilla.suse.com/1245878

https://bugzilla.suse.com/1255111

https://bugzilla.suse.com/1261653

https://bugzilla.suse.com/1261654

https://bugzilla.suse.com/1261655

https://bugzilla.suse.com/1261656

https://bugzilla.suse.com/1261657

https://bugzilla.suse.com/1261658

https://bugzilla.suse.com/1261659

https://bugzilla.suse.com/1261660

https://bugzilla.suse.com/1261661

https://bugzilla.suse.com/1261662

https://bugzilla.suse.com/1264395

https://bugzilla.suse.com/1264499

https://bugzilla.suse.com/1264500

https://bugzilla.suse.com/1264501

https://bugzilla.suse.com/1264502

https://bugzilla.suse.com/1264503

https://bugzilla.suse.com/1264504

https://bugzilla.suse.com/1264505

https://bugzilla.suse.com/1264506

https://bugzilla.suse.com/1264507

https://bugzilla.suse.com/1264508

https://bugzilla.suse.com/1264509

https://bugzilla.suse.com/1267442

https://bugzilla.suse.com/1267444

https://bugzilla.suse.com/1267450

https://www.suse.com/security/cve/CVE-2026-27140

https://www.suse.com/security/cve/CVE-2026-27143

https://www.suse.com/security/cve/CVE-2026-27144

https://www.suse.com/security/cve/CVE-2026-27145

https://www.suse.com/security/cve/CVE-2026-32280

https://www.suse.com/security/cve/CVE-2026-32281

https://www.suse.com/security/cve/CVE-2026-32282

https://www.suse.com/security/cve/CVE-2026-32283

https://www.suse.com/security/cve/CVE-2026-32288

https://www.suse.com/security/cve/CVE-2026-32289

https://www.suse.com/security/cve/CVE-2026-33810

https://www.suse.com/security/cve/CVE-2026-33811

https://www.suse.com/security/cve/CVE-2026-33814

https://www.suse.com/security/cve/CVE-2026-39817

https://www.suse.com/security/cve/CVE-2026-39819

https://www.suse.com/security/cve/CVE-2026-39820

https://www.suse.com/security/cve/CVE-2026-39823

https://www.suse.com/security/cve/CVE-2026-39825

https://www.suse.com/security/cve/CVE-2026-39826

https://www.suse.com/security/cve/CVE-2026-39836

https://www.suse.com/security/cve/CVE-2026-42499

https://www.suse.com/security/cve/CVE-2026-42501

https://www.suse.com/security/cve/CVE-2026-42504

https://www.suse.com/security/cve/CVE-2026-42507

プラグインの詳細

深刻度: Critical

ID: 326021

ファイル名: openSUSE-2026-21254-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/7/9

更新日: 2026/7/9

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.5

パーセンタイル: 96.41

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-27143

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:go1.26-openssl-race, p-cpe:/a:novell:opensuse:go1.26-openssl

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/7/7

脆弱性公開日: 2026/4/7

参照情報

CVE: CVE-2026-27140, CVE-2026-27143, CVE-2026-27144, CVE-2026-27145, CVE-2026-32280, CVE-2026-32281, CVE-2026-32282, CVE-2026-32283, CVE-2026-32288, CVE-2026-32289, CVE-2026-33810, CVE-2026-33811, CVE-2026-33814, CVE-2026-39817, CVE-2026-39819, CVE-2026-39820, CVE-2026-39823, CVE-2026-39825, CVE-2026-39826, CVE-2026-39836, CVE-2026-42499, CVE-2026-42501, CVE-2026-42504, CVE-2026-42507