openSUSE 16 セキュリティ更新 : go-sendxmpp (openSUSE-SU-2026:21277-1)

medium Nessus プラグイン ID 326414

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:21277-1 アドバイザリで言及されています。

go-sendxmpp の変更:

- 0.16.0 への更新:
追加:
* http-upload に Ox サポートを追加。
* プライベートグループチャットの Ox サポートを追加。
* MUC 参加に失敗した場合にエラー原因を表示 (go-xmpp >= v0.3.5 が必要)。
変更済み:
* --ox-delete-nodes を修正。
* MUC に参加している際の 1-1 メッセージの受信を修正。
* go-sendxmpp + ランダム ID をフォールバック MUC エイリアスとして使用。
* 受信者から先頭の xmpp: を取り除く。
* MUC JID から末尾の ?join を取り除く。
* スタンザ処理におけるタイムアウトのコンテキストを追加。
* disco アイテムの返信の ID をチェック (go-xmpp >= v0.3.6 が必要)。
* 1 つのアイテムだけが返される場合にチャネルバッファサイズを 1 に削減。
* レガシー PGP を廃止。
* CVE-2026-1229: CombinedMult 関数が正しくない値 (bsc#1265538) を生成する。circl を 1.6.3 に更新。
* CVE-2026-39821: ASCII のみの Punycode エンコードラベルを拒否できないことによる検証バイパスと権限昇格 (bsc#1266617)。net を 0.56.0 に更新。

- 0.15.8 への更新:
* Windows ビルドを修正 (Windows は syscall Setgid および setuid をサポートしていない)。

- 0.15.7 への更新:
* レガシー PGP 暗号化による http-upload を修正。
* 環境変数の読み取りを修正。
* ホストメタ 2 の検索におけるバグを修正。
* サーバーに接続する前に root 権限のドロップを試行。
* 構成キーに値がない場合のクラッシュを修正。
* 保存された FAST トークンに対してソルトを使用。
* FAST トークンを保存するための scrypt の反復回数を 32768 から 65536 に増加。
* --no-tls-verify または -n が設定されているときに警告をログ出力。

- 0.15.6 への更新:
追加:
* 新しい構成オプション allow_plain。
変更済み:
* man ページ go-sendxmpp(5) で各構成オプションを説明。
* 構成解析の堅牢性を向上。
* GitLab が issue をワークアイテムと呼ぶようになったため、man ページのリンクを更新。
* 認証後のスタンザサイズ制限の更新を認識 (go-xmpp >= v0.3.3 経由)。
* 接続に失敗した場合のエラーメッセージに接続先を含める。
- tar-scm サービスを削除し、通常の tarball と go_modules を使用

- 0.15.5 への更新:
* サーバーが SASL と SASL2 に異なるメカニズムを提供する場合の SASL SCRAM ダウングレード保護を修正 (go-xmpp >0 v0.3.2 が必要)。

- 0.15.4 への更新:
* http-upload: HTTP リクエストのコンテンツ長を手動で設定 (特定の HTTP モジュール/プロキシに関する問題を修正)。

- 0.15.3 への更新:
* SASL2 の PLAIN 認証を修正 (go-xmpp >= v0.3.1 が必要)。

- 0.15.2 への更新:
* スタンザ ID に UUIDv4 の代わりに UUIDv7 を使用 (go-xmpp >= v0.2.19 が必要)。
* レガシー PGP メッセージのスタンザ構文エラーを修正。
* レガシー PGP と Ox が同時に要求された場合にエラーを出力。
* go-xmpp ライブラリの新しい関数を使用するよう OOB ファイル送信と http-upload を再構成 (go-xmpp >= v0.3.0 が必要)。
* FAST ログインが失敗した場合にパスワードログインを試行。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける go-sendxmpp パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1265538

https://bugzilla.suse.com/1266617

https://www.suse.com/security/cve/CVE-2026-1229

https://www.suse.com/security/cve/CVE-2026-39821

プラグインの詳細

深刻度: Medium

ID: 326414

ファイル名: openSUSE-2026-21277-1.nasl

バージョン: 1.2

タイプ: Local

エージェント: unix

公開日: 2026/7/12

更新日: 2026/7/13

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.9

パーセンタイル: 57.98

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-1229

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.3

Threat Score: 2.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L

脆弱性情報

CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:go-sendxmpp

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/7/8

脆弱性公開日: 2026/2/24

参照情報

CVE: CVE-2026-1229, CVE-2026-39821