openSUSE 16 セキュリティ更新:libredwg(openSUSE-SU-2026:21346-1)

medium Nessus プラグイン ID 327244

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。

説明

リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:21346-1 アドバイザリで言及されています。

libredwg の変更:

- スナップショットへの更新 0.14.8413
* dwg_next_entity NULL ポインターデリファレンスを修正します [CVE-2026-15184、 boo#1271170]
* dwg_bmpサムネイルオーバーフローチェックを修正します [CVE-2026-15181、 boo#1271169]
* match_BLOCK_HEADER における NULL ポインターデリファレンス(SEGV)を解決 [CVE-2026-9529、 boo#1266380]
* DXB(バイナリ DXF)サポートを追加しました:dwgwrite/dwgread/dwg2dxf は DXB 入力/出力を受け入れ、dxfwrite は DXB を受け入れます。
* マイナーな機能:
* R2007+ ヘッダー、クラス、オブジェクトの文字列ストリームエンコーディングを分割。
* エンティティリンクチェーンのサイクルチェックを追加しました。
* リリースヘルパーを追加し、CI を改善しました(ODAFileConverter QT6、xvfb-run)。
* dwgfuzz: --versionでモードを表示します。

- 0.14 への更新:
* r2004(AC1018)DWG ファイルの書き込みサポート。現在、エンコーダーは、圧縮され暗号化されたセクションヘッダーおよび r2004 以降要求されていた、 LZ77圧縮されたオブジェクトデータレイアウトを生成します。
* 大きなオブジェクトファイル(エンコード、デコード)を 2 つのオブジェクトに分割することで、コンパイル中のピークメモリ使用率が大幅に削減され、パラレルビルドの拡張性が向上します。
* dwgadd:ハンドルフィールド(layer、ltype、style など)を、生のハンドル参照に加えて、テーブルレコード名で設定できるようになりました。
「line.layer = FOO」のような文字列値は、解析時に dwg_find_tablehandle() によって解決されます。
* DXB(バイナリ DXF)サポートを追加しました:dwgwrite/dwgread/dwg2dxf は DXB 入力/出力を受け入れ、dxfwrite は DXB を受け入れます。
* R2007+ ヘッダー、クラス、オブジェクトの文字列ストリームエンコーディングを分割。
* エンティティリンクチェーンのサイクルチェックを追加しました。GH #1226。
* decompress_r2007 OOB 読み取りと R2004 セクション展開の回帰テストを追加しました。dwgfilter.test を追加しました。
* リリースヘルパーを追加し、CI を改善しました(ODAFileConverter QT6、xvfb-run)。
* dwgfuzz: --versionでモードを表示します。
* API/ABI の変更(ソースの非互換性):
* HEADER/2NDHEADER.is_maint の名前を maint_rel_version に変更しました。
* PROXY_OBJECT.dwg_versions の名前を変更しました。
* SO_VERSION を 0:14:0 に更新しました。

- スナップショットへの更新 0.13.4.8200
* r2004(AC1018)DWG ファイルの書き込みサポート。現在、エンコーダーは、圧縮され暗号化されたセクションヘッダーおよび r2004 以降要求されていた、 LZ77圧縮されたオブジェクトデータレイアウトを生成します。
* 大きなオブジェクトファイル(エンコード、デコード)を 2 つのオブジェクトに分割することで、コンパイル中のピークメモリ使用率が大幅に削減され、パラレルビルドの拡張性が向上します。
* dwgadd:ハンドルフィールド(layer、ltype、style など)を、生のハンドル参照に加えて、テーブルレコード名で設定できるようになりました。「line.layer = FOO」のような文字列値は、解析時に dwg_find_tablehandle() によって解決されます。
* decompress_R2004_sectionバッファオーバーフローを修正します [CVE-2026-9501、 CVE-2026-9502、 CVE-2026-9529、 CVE-2026-9530、 boo#1266377、 boo#1266378、 boo#1266380、 boo#1266287]
* dwg_next_entity NULL ポインターデリファレンスを修正します [CVE-2026-9503、 boo#1266379]
* 破損した DWG 入力の DXF 出力の NULL ポインターデリファレンスを修正します [CVE-2026-9504、 boo#1266321]
* decode:展開オーバーフローを修正 [CVE-2026-9605、 boo#1266365]

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける libredwg-devel、libredwg-tools、libredwg0 パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1266287

https://bugzilla.suse.com/1266321

https://bugzilla.suse.com/1266365

https://bugzilla.suse.com/1266377

https://bugzilla.suse.com/1266378

https://bugzilla.suse.com/1266379

https://bugzilla.suse.com/1266380

https://bugzilla.suse.com/1271169

https://bugzilla.suse.com/1271170

https://www.suse.com/security/cve/CVE-2026-15181

https://www.suse.com/security/cve/CVE-2026-15184

https://www.suse.com/security/cve/CVE-2026-9501

https://www.suse.com/security/cve/CVE-2026-9502

https://www.suse.com/security/cve/CVE-2026-9503

https://www.suse.com/security/cve/CVE-2026-9504

https://www.suse.com/security/cve/CVE-2026-9529

https://www.suse.com/security/cve/CVE-2026-9530

https://www.suse.com/security/cve/CVE-2026-9605

プラグインの詳細

深刻度: Medium

ID: 327244

ファイル名: openSUSE-2026-21346-1.nasl

バージョン: 1.2

タイプ: Local

エージェント: unix

公開日: 2026/7/16

更新日: 2026/7/17

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.8

パーセンタイル: 22.6

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2026-9605

CVSS v3

リスクファクター: High

基本値: 7.3

現状値: 6.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.9

Threat Score: 5.5

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libredwg-tools, cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:libredwg0, p-cpe:/a:novell:opensuse:libredwg-devel

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/7/13

脆弱性公開日: 2026/5/25

参照情報

CVE: CVE-2026-15181, CVE-2026-15184, CVE-2026-9501, CVE-2026-9502, CVE-2026-9503, CVE-2026-9504, CVE-2026-9529, CVE-2026-9530, CVE-2026-9605