openSUSEセキュリティ更新プログラム：deluge（openSUSE-2017-656）

critical Nessus プラグイン ID 100658

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このdelugeの更新では、 2件のセキュリティ問題が修正されます：

- CVE-2017-9031：リモート攻撃者が、Webインターフェイスのディレクトリトラバーサルの脆弱性を利用した可能性があります（bsc#1039815）

- CVE-2017-7178：リモート攻撃者が、CSRFの脆弱性を悪用し、ログインしたユーザーを騙してWebUIでアクションを実行させる可能性がありました（bsc#1039958）

加えて、delugeが1.3.15に更新され、次の修正と変更が行われました：

- コア：libtorrent-rasterbarシングルプロキシの表示に伴う問題を修正します。

- コア：libtorrent-rasterbar 1.2トラッカーによるDeluge UIのクラッシュを修正します。

- コア：UIでファイル優先度の不一致を引き起こすtorrent優先度のエラーを修正します。

- GtkUI：Thinclientモードで保存されない列ソート状態を修正します。

GtkUI 無効な形式のipに伴う接続マネージャーエラーを修正します。

GtkUI SystemTray/Indicatorの名前を「Pause/Resume All」から「Pause/Resume Session」に変更します。

GtkUI 未使用のプロキシタイプをグレーアウトすることによるlibtorrent-rasterbarシングルプロキシの回避策。

- 通知プラグイン：intポート値として文字列を渡すwebuiを修正します。

- AutoAddプラグイン：WebUI経由で構成の欠如を詳述したWebUI設定ページを追加します。

- ラベルプラグイン：プラグインの構成方法を詳述したWebUI設定ページを追加します。

- コア：「開いているファイルが多すぎます」エラーを修正します。

- コア：libtorrent 1.1で使用するためにpython-geoipのサポートを追加します。

- コア：上書きされてプロキシが設定されないシングルプロキシエントリを修正します。

- UI：UIにtracker_status変換を追加します。

GtkUI チェックの前にinfohashから空白を取り除きます。

GtkUI 欠落した機能のオートフィルinfohashエントリをクリップボードから追加します。

- WebUI：サーバーのbindインターフェイスオプションをバックポートします。

- ConsoleUI：非ASCII（str）torrent名を比較するデコードエラーを修正します。

- AutoAddプラグイン：ファイルからの分割マグネットを修正します。

- 分割する際に重複するマグネット拡張機能を削除します。

- deluge-libtorrent-1.1-geoip.patchを削除します：Upstreamを修正しました。