SUSE SLES15:terraform-provider-aws/terraform-provider-azurerm/etc(SUSE-SU-2026:3056-1)

high Nessus プラグイン ID 327306

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:3056-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

terraform-provider-aws、terraform-provider-azurerm、terraform-provider-external、terraform-provider-google、terraform-provider-helm、terraform-provider-kubernetes、terraform-provider-local、terraform-provider-null、terraform-provider-random、terraform-provider-tlsのこの更新プログラムでは、以下の問題が修正されています。

- CVE-2022-41723:go1.19、go1.20:net/http2:HPACK デコーディングの二次複雑度(bsc#1208300)。
- CVE-2025-22872: golang.org/x/net/html: タグが誤って解釈されているため、DOM 構築中にコンテンツが誤ったスコープに配置される可能性があります (bsc#1241728)。
- CVE-2025-32386:helm:特別に細工されたチャートアーカイブにより、OOM 終了が発生する可能性があります(bsc#1241030)。
- CVE-2025-32387:helm:特別に細工された JSON スキーマにより、スタックオーバーフローが発生する可能性があります(bsc#1241033)。
- CVE-2025-47911:golang.org/x/net/html:HTML ドキュメントを解析する際に、さまざまなアルゴリズムに二次複雑性があります(bsc#1251365)。
- CVE-2025-47913:golang.org/x/crypto/ssh/agent:キーリストまたは署名リクエスト(bsc#1253508 bsc#1253517)への応答で予期しないメッセージタイプを受信した場合のクライアントプロセスの終了。
- CVE-2025-47914:golang.org/x/crypto/ssh/agent:未検証のメッセージサイズにより、領域外読み取りによるパニックを引き起こす可能性があります(bsc#1253980 bsc#1253983)。
- CVE-2025-58181:golang.org/x/crypto/ssh:無効な数のメカニズムにより、制限のないメモリ消費が引き起こされる可能性があります(bsc#1253797 bsc#1253799)。
- CVE-2025-58190:golang.org/x/net/html:特別に細工された入力により、「html.ParseFragment」を返します(bsc#1251559)。
- CVE-2026-25680、CVE-2026-25681、CVE-2026-27136、CVE-2026-42502、CVE-2026-42506: golang.org/x/net/html:
HTML ファイル解析時の複数の問題 (bsc#1267058)。
- CVE-2026-25934:github.com/go-git/go-git/v5:「.pack」および「.idx」ファイルのデータ整合性の値の検証が不適切なために、破損したファイルが消費される可能性があります(bsc#1258096)。
- CVE-2026-33186:google.golang.org/grpc:HTTP/2「:p ath」疑似ヘッダーの不適切な検証による承認バイパス(bsc#1260139 bsc#1260149 bsc#1260180)。
- CVE-2026-39821:golang.org/x/net/idna:ASCII のみの Punycode でエンコードされたラベルを拒否できないことにより、検証バイパスと権限昇格(bsc#1266477 bsc#1266482 bsc#1266541 bsc#1266547)が可能になります。
- CVE-2026-39827、CVE-2026-39828、CVE-2026-39829、CVE-2026-39830、CVE-2026-39831、CVE-2026-39832、CVE-2026-39833、 CVE-2026-39834、CVE-2026-39835、CVE-2026-42508、CVE-2026-46595、CVE-2026-46597、CVE-2026-46598:
golang.org/x/crypto/ssh:crypto/ssh ライブラリにおける複数の問題(bsc#1266051 bsc#1266057 bsc#1266086 bsc#1266112 bsc#1266122 bsc#1266127 bsc#1266132 bsc#1266150 bsc#1266160)。
- CVE-2026-41506:github.com/go-git/go-git/v5:HTTP スマートHTTPの複製とフェッチの操作中にリダイレクトに従う際の認証情報漏洩(bsc#1264862 bsc#1264888 bsc#1264938)。
- CVE-2026-41602:github.com/apache/thrift:「TFramedTransport」フレームサイズヘッダーにより、「uint32」整数オーバーフローが発生する可能性があります(bsc#1263515)。
- CVE-2026-41603:github.com/apache/thrift:「TSSLTransportFactory」での不適切なホスト名検証が、ホストの不一致につながる可能性があります(bsc#1263606)。
- CVE-2026-41604:github.com/apache/thrift:無効なフィールド範囲のある素早い入力が、領域外読み取りとアプリケーションクラッシュにつながる可能性があります(bsc#1263445)。
- CVE-2026-41605:github.com/apache/thrift:大きな整数値を含むコンパクトプロトコルメッセージにより、整数オーバーフローが発生する可能性があります(bsc#1263411)。
- CVE-2026-41606:github.com/apache/thrift:「c_glib」ディスパッチにおける細工されたネストメッセージにより、制御されない再帰およびサービス拒否(bsc#1263357)が発生する可能性があります。
- CVE-2026-41607:github.com/apache/thrift:不適切な長さ検証で細工されたメッセージが、領域外読み取りおよび情報漏洩につながる可能性があります(bsc#1263313)。
- CVE-2026-41636:github.com/apache/thrift:Node.js バインディングの制御されない再帰により、スタック枯渇(bsc#1263247)によるサービス拒否が発生する可能性があります。
- CVE-2026-44740:github.com/go-git/go-billy/v5:多くのコンポーネントで入力が不適切に処理され、無限ループ、パニック、またはリソース消費(bsc#1267271 bsc#1267273 bsc#1267276)を介して DoS が発生する可能性があります。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1208300

https://bugzilla.suse.com/1241030

https://bugzilla.suse.com/1241033

https://bugzilla.suse.com/1241728

https://bugzilla.suse.com/1251365

https://bugzilla.suse.com/1251559

https://bugzilla.suse.com/1253508

https://bugzilla.suse.com/1253517

https://bugzilla.suse.com/1253797

https://bugzilla.suse.com/1253799

https://bugzilla.suse.com/1253980

https://bugzilla.suse.com/1253983

https://bugzilla.suse.com/1258096

https://bugzilla.suse.com/1260139

https://bugzilla.suse.com/1260149

https://bugzilla.suse.com/1260180

https://bugzilla.suse.com/1263247

https://bugzilla.suse.com/1263313

https://bugzilla.suse.com/1263357

https://bugzilla.suse.com/1263411

https://bugzilla.suse.com/1263445

https://bugzilla.suse.com/1263515

https://bugzilla.suse.com/1263606

https://bugzilla.suse.com/1264862

https://bugzilla.suse.com/1264888

https://bugzilla.suse.com/1264938

https://bugzilla.suse.com/1266051

https://bugzilla.suse.com/1266057

https://bugzilla.suse.com/1266086

https://bugzilla.suse.com/1266112

https://bugzilla.suse.com/1266122

https://bugzilla.suse.com/1266127

https://bugzilla.suse.com/1266132

https://bugzilla.suse.com/1266150

https://bugzilla.suse.com/1266160

https://bugzilla.suse.com/1266477

https://bugzilla.suse.com/1266482

https://bugzilla.suse.com/1266541

https://bugzilla.suse.com/1266547

https://bugzilla.suse.com/1267058

https://bugzilla.suse.com/1267271

https://bugzilla.suse.com/1267273

https://bugzilla.suse.com/1267276

https://lists.suse.com/pipermail/sle-updates/2026-July/048329.html

https://www.suse.com/security/cve/CVE-2022-41723

https://www.suse.com/security/cve/CVE-2025-22869

https://www.suse.com/security/cve/CVE-2025-22872

https://www.suse.com/security/cve/CVE-2025-32386

https://www.suse.com/security/cve/CVE-2025-32387

https://www.suse.com/security/cve/CVE-2025-47911

https://www.suse.com/security/cve/CVE-2025-47913

https://www.suse.com/security/cve/CVE-2025-47914

https://www.suse.com/security/cve/CVE-2025-58181

https://www.suse.com/security/cve/CVE-2025-58190

https://www.suse.com/security/cve/CVE-2026-25680

https://www.suse.com/security/cve/CVE-2026-25681

https://www.suse.com/security/cve/CVE-2026-25934

https://www.suse.com/security/cve/CVE-2026-27136

https://www.suse.com/security/cve/CVE-2026-33186

https://www.suse.com/security/cve/CVE-2026-33814

https://www.suse.com/security/cve/CVE-2026-39821

https://www.suse.com/security/cve/CVE-2026-39827

https://www.suse.com/security/cve/CVE-2026-39828

https://www.suse.com/security/cve/CVE-2026-39829

https://www.suse.com/security/cve/CVE-2026-39830

https://www.suse.com/security/cve/CVE-2026-39831

https://www.suse.com/security/cve/CVE-2026-39832

https://www.suse.com/security/cve/CVE-2026-39833

https://www.suse.com/security/cve/CVE-2026-39834

https://www.suse.com/security/cve/CVE-2026-39835

https://www.suse.com/security/cve/CVE-2026-41506

https://www.suse.com/security/cve/CVE-2026-41602

https://www.suse.com/security/cve/CVE-2026-41603

https://www.suse.com/security/cve/CVE-2026-41604

https://www.suse.com/security/cve/CVE-2026-41605

https://www.suse.com/security/cve/CVE-2026-41606

https://www.suse.com/security/cve/CVE-2026-41607

https://www.suse.com/security/cve/CVE-2026-41636

https://www.suse.com/security/cve/CVE-2026-42502

https://www.suse.com/security/cve/CVE-2026-42506

https://www.suse.com/security/cve/CVE-2026-42508

https://www.suse.com/security/cve/CVE-2026-44740

https://www.suse.com/security/cve/CVE-2026-46595

https://www.suse.com/security/cve/CVE-2026-46597

https://www.suse.com/security/cve/CVE-2026-46598

プラグインの詳細

深刻度: High

ID: 327306

ファイル名: suse_SU-2026-3056-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/7/16

更新日: 2026/7/16

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.3

パーセンタイル: 96.81

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS スコアのソース: CVE-2026-41506

CVSS v3

リスクファクター: High

基本値: 7.4

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: High

Base Score: 8.7

Threat Score: 7.7

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L

CVSS スコアのソース: CVE-2026-41636

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:terraform-provider-azurerm, p-cpe:/a:novell:suse_linux:terraform-provider-google, p-cpe:/a:novell:suse_linux:terraform-provider-tls, p-cpe:/a:novell:suse_linux:terraform-provider-aws, p-cpe:/a:novell:suse_linux:terraform-provider-null, p-cpe:/a:novell:suse_linux:terraform-provider-kubernetes, p-cpe:/a:novell:suse_linux:terraform-provider-helm, p-cpe:/a:novell:suse_linux:terraform-provider-external, p-cpe:/a:novell:suse_linux:terraform-provider-local, p-cpe:/a:novell:suse_linux:terraform-provider-random, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/7/15

脆弱性公開日: 2023/2/15

参照情報

CVE: CVE-2022-41723, CVE-2025-22869, CVE-2025-22872, CVE-2025-32386, CVE-2025-32387, CVE-2025-47911, CVE-2025-47913, CVE-2025-47914, CVE-2025-58181, CVE-2025-58190, CVE-2026-25680, CVE-2026-25681, CVE-2026-25934, CVE-2026-27136, CVE-2026-33186, CVE-2026-33814, CVE-2026-39821, CVE-2026-39827, CVE-2026-39828, CVE-2026-39829, CVE-2026-39830, CVE-2026-39831, CVE-2026-39832, CVE-2026-39833, CVE-2026-39834, CVE-2026-39835, CVE-2026-41506, CVE-2026-41602, CVE-2026-41603, CVE-2026-41604, CVE-2026-41605, CVE-2026-41606, CVE-2026-41607, CVE-2026-41636, CVE-2026-42502, CVE-2026-42506, CVE-2026-42508, CVE-2026-44740, CVE-2026-46595, CVE-2026-46597, CVE-2026-46598

SuSE: SUSE-SU-2026:3056-1