openSUSE 16 セキュリティ更新 : alloy (openSUSE-SU-2026:21251-1)

low Nessus プラグイン ID 326022

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:21251-1 アドバイザリで言及されています。

バージョン 1.17.0 に更新してください。

セキュリティの問題を修正:

- CVE-2026-25680: golang.org/x/net/html: 任意の HTML の解析で CPU 時間が過剰に消費され、サービス拒否が発生する可能性があります (bsc#1267185)。
- CVE-2026-25681: golang.org/x/net/html: 任意の HTML を解析し、その後 Render を使用してレンダリングすると、予期しない HTML ツリーが生成され、XSS が発生する可能性があります (bsc#1267185)。
- CVE-2026-27136: golang.org/x/net/html: 任意の HTML を解析し、その後 Render を使用してレンダリングすると、予期しない HTML ツリーが生成され、XSS が発生する可能性があります (bsc#1267185)。
- CVE-2026-33532: yaml: 深くネスト化したコレクションを含む入力の解析により、スタックオーバーフローが原因で「RangeError」がスローされ、サービス拒否が発生する可能性があります (bsc#1260981)。
- CVE-2026-39821: golang.org/x/net/idna: ASCII のみの Punycode でエンコードされたラベルを拒否できないことにより、検証バイパスと権限昇格が可能になります (bsc#1266654)。
- CVE-2026-39827: golang.org/x/crypto/ssh: 認証された SSH クライアントがサーバーによって拒否されたチャネルを繰り返し開くと、無制限のメモリ増加とクラッシュを引き起こす可能性があります (bsc#1266196)。
- CVE-2026-39828: golang.org/x/crypto/ssh: SSH サーバー認証コールバックが「nil」以外のパーミッションを持つ「PartialSuccessError」を返す場合、パーミッションが破棄されます (bsc#1266196)。
- CVE-2026-39829: golang.org/x/crypto/ssh: RSA および DSA 公開鍵パーサーによるキーパラメーターのサイズ制限が適用されないため、細工された公開鍵の処理時に過剰な CPU 消費が発生する可能性があります (bsc#1266196)。
- CVE-2026-39830: golang.org/x/crypto/ssh: 未承諾のグローバルリクエスト応答を送信する悪意のある SSH ピアにより、接続の読み取りループがブロックされ、リソースリークが発生する可能性があります (bsc#1266196)。
- CVE-2026-39831: golang.org/x/crypto/ssh: FIDO/U2F セキュリティキータイプの「Verify()」メソッドで「User Presence」フラグチェックが欠落しているため、物理的な接触なしで生成された署名が受け入れられます (bsc#1266196)。
- CVE-2026-39832: golang.org/x/crypto/ssh: キー転送時に宛先制限が暗黙的に削除され、リモートホストでキーを無制限に使用できるようになります (bsc#1266196)。
- CVE-2026-39833: golang.org/x/crypto/ssh:「NewKeyring()」によって返されるメモリ内キーリングは、「ConfirmBeforeUse」制約付きのキーを暗黙的に受け入れますが、その制約を適用しません (bsc#1266196)。
- CVE-2026-39834: golang.org/x/crypto/ssh: SSH チャネルでの単一の「Write」呼び出しで 4GB を超えるデータを書き込むと、整数オーバーフローが発生し、空のパケットを送信する無限ループにつながります (bsc#1266196)。
- CVE-2026-39835: golang.org/x/crypto/ssh: 「IsUserAuthority」または「IsHostAuthority」を設定せずに「CertChecker」を公開鍵コールバックとして使用する SSH サーバーでの証明書処理により、パニックが発生する可能性があります (bsc#1266196)。
- CVE-2026-41889: github.com/jackc/pgx/v5/internal/sanitize: SQL クエリのドル引用符付き文字列リテラルでプレースホルダーを使用すると、SQL インジェクションが発生する可能性があります (bsc#1265440)。
- CVE-2026-42502: golang.org/x/net/html: 任意の HTML を解析し、その後 Render を使用してレンダリングすると、予期しない HTML ツリーが生成され、XSS が発生する可能性があります (bsc#1267185)。
- CVE-2026-42506: golang.org/x/net/html: 任意の HTML を解析し、その後 Render を使用してレンダリングすると、予期しない HTML ツリーが生成され、XSS が発生する可能性があります (bsc#1267185)。
- CVE-2026-42508: golang.org/x/crypto/ssh: CA に属する取り消された「SignatureKey」の失効チェックが正しく行われません (bsc#1266196)。
- CVE-2026-44740: github.com/go-git/go-billy/v5: 多くのコンポーネントで入力が不適切に処理されると、無限ループ、パニック、またはリソース消費を介して DoS が発生する可能性があります (bsc#1267333)。
- CVE-2026-45678: go.opentelemetry.io/obi: Postgres BIND の解析時に、不正な形式のペイロードを処理するとパニックが発生する可能性があります (bsc#1267481)。
- CVE-2026-45682: go.opentelemetry.io/obi: 削除後も「CappedConcurrentHashMap」によってキーが削除されないため、接続チャーンを繰り返すことでキューが無制限に増加し、ヒープメモリを使い果たす可能性があります (bsc#1267485)。
- CVE-2026-45685: go.opentelemetry.io/obi: 不正な形式のワイヤメッセージにより MongoDB TCP パーサーでパニックが発生し、DoS が発生します (bsc#1267488)。
- CVE-2026-45686: go.opentelemetry.io/obi: memcached テキストプロトコルパーサーの整数オーバーフローにより、OBI プロセスがクラッシュし、サービス拒否が発生する可能性があります (bsc#1267489)。
- CVE-2026-46595: golang.org/x/crypto/ssh: 公開鍵以外のタイプのコールバックが渡された場合、ソースアドレス検証がスキップされます (bsc#1266196)。
- CVE-2026-46597: golang.org/x/crypto/ssh: 特別に細工された入力の処理時に、AES-GCM パケットデコーダーでバイトから int へのキャストが誤って配置されているため、サーバー側でパニックが発生する可能性があります (bsc#1266196)。
- CVE-2026-46598: golang.org/x/crypto/ssh: 特定の細工された入力の処理により、不正な形式のワイヤバイトをキャストして作成された「ed25519.PrivateKey」が、使用時にパニックを引き起こす可能性があります (bsc#1266196)。

その他の更新およびバグ修正:

- バージョン 1.17.0:
* 機能
* GraphQL サーバーおよび「gql」サブコマンドを追加。
* 「otelcol」: Nginx レシーバーを追加。
* 「otelcol.exporter.prometheus」: クラシックヒストグラムを NHCB に変換。
* 「database_observability」: MySQL および Postgres に対するさまざまな拡張。
* 「faro.receiver」: gzip 圧縮リクエスト本文をサポート。
* Beyla 3.9.8 に更新。
* バグ修正
* security: 「x/crypto」、「x/net」、「jackc/pgx/v5」、および「obi」を更新。
* cluster: TLS が有効な場合にクラスターへ参加できないノードを修正。
* 「loki.process」: 潜在的なデッドロックを修正し、ステージシャットダウンを制限。
* Go を v1.26.4 に更新。
- バージョン 1.16.3:
* cluster: TLS が有効な場合にクラスターへ参加できないノードを修正。
- バージョン 1.16.2:
*「loki.process」:「stage.truncate」のルールを変更しなくなり、このステージが使用されるとすべての構成更新でパイプラインがリロードされる。
*「loki.process」: ステージやレシーバーの変更を伴う更新時のデッドロックの可能性。
*「otelcol.exporter.awss3」: 欠落している「unique_key_func_name」属性を追加。
- 脆弱な「yaml」ライブラリへの依存関係を削除。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける alloy パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1260981

https://bugzilla.suse.com/1265440

https://bugzilla.suse.com/1266196

https://bugzilla.suse.com/1266654

https://bugzilla.suse.com/1267185

https://bugzilla.suse.com/1267333

https://bugzilla.suse.com/1267481

https://bugzilla.suse.com/1267485

https://bugzilla.suse.com/1267488

https://bugzilla.suse.com/1267489

https://www.suse.com/security/cve/CVE-2026-25680

https://www.suse.com/security/cve/CVE-2026-25681

https://www.suse.com/security/cve/CVE-2026-27136

https://www.suse.com/security/cve/CVE-2026-33532

https://www.suse.com/security/cve/CVE-2026-39821

https://www.suse.com/security/cve/CVE-2026-39827

https://www.suse.com/security/cve/CVE-2026-39828

https://www.suse.com/security/cve/CVE-2026-39829

https://www.suse.com/security/cve/CVE-2026-39830

https://www.suse.com/security/cve/CVE-2026-39831

https://www.suse.com/security/cve/CVE-2026-39832

https://www.suse.com/security/cve/CVE-2026-39833

https://www.suse.com/security/cve/CVE-2026-39834

https://www.suse.com/security/cve/CVE-2026-39835

https://www.suse.com/security/cve/CVE-2026-41889

https://www.suse.com/security/cve/CVE-2026-42502

https://www.suse.com/security/cve/CVE-2026-42506

https://www.suse.com/security/cve/CVE-2026-42508

https://www.suse.com/security/cve/CVE-2026-44740

https://www.suse.com/security/cve/CVE-2026-45678

https://www.suse.com/security/cve/CVE-2026-45682

https://www.suse.com/security/cve/CVE-2026-45685

https://www.suse.com/security/cve/CVE-2026-45686

https://www.suse.com/security/cve/CVE-2026-46595

https://www.suse.com/security/cve/CVE-2026-46597

https://www.suse.com/security/cve/CVE-2026-46598

プラグインの詳細

深刻度: Low

ID: 326022

ファイル名: openSUSE-2026-21251-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/7/9

更新日: 2026/7/9

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.9

パーセンタイル: 58.03

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-41889

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: Low

Base Score: 2.3

Threat Score: 1.3

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:alloy, cpe:/o:novell:opensuse:16.0

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/7/7

脆弱性公開日: 2026/3/25

参照情報

CVE: CVE-2026-25680, CVE-2026-25681, CVE-2026-27136, CVE-2026-33532, CVE-2026-39821, CVE-2026-39827, CVE-2026-39828, CVE-2026-39829, CVE-2026-39830, CVE-2026-39831, CVE-2026-39832, CVE-2026-39833, CVE-2026-39834, CVE-2026-39835, CVE-2026-41889, CVE-2026-42502, CVE-2026-42506, CVE-2026-42508, CVE-2026-44740, CVE-2026-45678, CVE-2026-45682, CVE-2026-45685, CVE-2026-45686, CVE-2026-46595, CVE-2026-46597, CVE-2026-46598