openSUSEセキュリティ更新プログラム:syncthing(openSUSE-2018-45)
high Nessus プラグイン ID 106072
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
これによりsyncthingが新しいバージョンに更新され、以下の問題を修正します:- バージョン 0.14.42 に更新してください:
- 削除されたディレクトリで新しいファイルが発見されても、ディレクトリは復活しません(gh#syncthing/syncthing#4475)。
- 再起動後の「Panic:interface conversion:*errors.errorStringはnet.Errorではありません」(gh#syncthing/syncthing#4561)。
- 信頼できるデバイスから共有ディレクトリを自動的に受け入れます(gh#syncthing/syncthing#2299)。
- .stversionsの空のディレクトリを削除する必要があります(gh#syncthing/syncthing#4406)。
- 空ではないディレクトリの削除を試行する際に人間が読み取れるエラー(gh#syncthing /syncthing#4476)。
- フォルダ/デバイスの削除ボタンに確認を追加します(gh#syncthing/syncthing#4543)。
- バージョン 0.14.41 に更新してください:
- 無視されたファイルを含むデバイスは、永久に「同期化」を続けます(gh#syncthing/syncthing#623)。
- 同期プロトコルリッスンアドレスのないグローバル発見はありません(gh#syncthing/syncthing#4418)。
- ローカルネットワーク分類が常に動作するとは限りません(gh#syncthing/syncthing#4421)。
- ハッシュされたGUIパスワードは再ハッシュ化する必要はありません(gh#syncthing/syncthing#4458)。
- 再接続時にプルが正しくトリガーされません(gh#syncthing/syncthing#4504)。
- シンボリックリンク/ファイル置換が適切に動作しません(gh#syncthing/syncthing#4505)。
- ファイル/ディレクトリ置換が適切に動作しません(gh#syncthing/syncthing#4506)。
- 情報レベル以上のロギングには、常にコンテキストを含める必要があります(gh#syncthing/syncthing#4510)。
- 32ビットアーキテクチャの「pfilter」パッケージにおけるパニック(gh#syncthing/syncthing#4537)。
- 読み取り専用ディレクトリの「マスターディレクトリ」としての同期を許可します(gh#syncthing/syncthing#1126)。
- 「Global Change(グローバル変更)」ボタンがわかりにくいため、タイトルを「最近の変更」に変更します(gh#syncthing/syncthing#4326)。
- 同時にデバイスアドレスにダイヤルします(gh#syncthing/syncthing#4456)。
- 対称型NATの存在下で、多数のアドレスが公表されるのを回避します(gh#syncthing/syncthing#4519)。
- スタックごとにトランスポート使用率レポートを分割します(gh#syncthing/syncthing#4463)。
- バージョン 0.14.40 に更新してください:
- 匿名の使用率レポートの追加データ部分をレポートします(gh#syncthing/syncthing#3628)
- 同期エラーをより適切にレポートします(gh#syncthing/syncthing#4392)。
- 一時停止中のディレクトリを削除しても、パニックが発生しなくなりました(gh#syncthing/syncthing#4405)。
- ローカルIPv4 Discoveryの書き込み失敗に対する回復力を強化します(gh#syncthing/syncthing#4414)。
- 起動時の構成失敗に関するより明確なログ(gh#syncthing/syncthing#4431)。
- ファイルをfsyncできないことに苦情を言いません(gh#syncthing/syncthing#4432)。
- KCP接続を改善します(gh#syncthing/syncthing#4446)。
- ディレクトリのヘルスチェックを改善します(gh#syncthing/syncthing#4451)。
- デフォルトでは無効になっていますが、ファイルシステム通知のビルトインサポートを含みます。
- UDPベースの「KCP」プロトコルをデフォルトで有効にします。
- バージョン 0.14.39 に更新してください:
- 一時停止中のディレクトリを削除しても、クラッシュが発生しなくなりました(gh#syncthing/syncthing#4357)。
- HTTPヘッダーに関連するセキュリティをさらに追加します(gh#syncthing/syncthing#4360)。
- 場合によっては情報レベルのロギングを改善します(gh#syncthing/syncthing#4375)。
- chromiumベースのブラウザのGUIツールチップを改善します(gh#syncthing/syncthing#4377)。
- -device-idコマンドラインスイッチを追加します(gh#syncthing/syncthing#4387)。
- ディレクトリマーカーをファイルからディレクトリタイプにアップグレードしないことは、致命的ではなくなりました。
- バージョン 0.14.38 に更新してください:
- KCP接続の安定性が向上しました(gh#syncthing/syncthing#4063、gh#syncthing/syncthing#4343)
- 手動による選択が強制されている場合、ベンチマークのハッシュはスキップされます(gh#syncthing/syncthing#4348)。
- リレーサーバーのRAM使用率が低減されています(gh#syncthing/syncthing#4245)。
- バージョン 0.14.37に更新します(0.14.32以降の変更):
- 相対バージョンパスが、ディレクトリパスに正しく相対するようになりました(gh#syncthing/syncthing#4188)。
- リモートデバイスが同期に不足するバイト数を表示するようになりました(gh#syncthing/syncthing#4227)。
- ignoreパターンの編集で、含まれているパターンが不適切に表示されることがなくなりました(gh#syncthing/syncthing#4249)。
- 新しいディレクトリダイアログは、デフォルトパスを提案するようになりました。
高度な構成のdefaultFolderPathを介して調整可能です(gh#syncthing/syncthing#2157)。
- ビルドスクリプトは、デフォルトで-installsuffixを設定しなくなりました(gh#syncthing/syncthing#4272)。
- バージョン化されたシンボリックリンクを介してファイルの上書きを許可する脆弱性を防止します(CVE-2017-1000420、boo#1074428、gh#syncthing/syncthing#4286)。
- 起動時に、バージョン管理されているディレクトリからシンボリックリンクが削除されます(gh#syncthing/syncthing#4288)。
- ラベルのないディレクトリを編集する場合、ディレクトリパスがリセットされなくなりました(gh#syncthing/syncthing#4297)。
- 同期中に発生する同期の競合をより適切に検出します(gh#syncthing/syncthing#3742、gh#syncthing/syncthing#4305)。
- 無視の処理でnilリファレンスに関連するクラッシュを修正します(gh#syncthing/syncthing#4300)。
- golang.org/x/net/contextの要求を停止します。
- バージョン 0.14.32 に更新してください:
-「周辺デバイス」が追加デバイスダイアログに表示され、デバイスIDを入力する必要がなくなりました(gh#syncthing/syncthing#4157)。
- 共有リクエストで以前は無視されていたディレクトリが、後から手動で追加された場合に実際に適切に機能するようになりました(gh#syncthing/syncthing#4219)。
- バージョン0.14.31に更新してください(0.14.29以降の変更):
- ディレクトリダイアログの「パスは他のフォルダのサブディレクトリです」という警告を適切に消去します(gh#syncthing/syncthing#3433)。
- 競合するコピーファイル名に、ファイルを変更する最新デバイスのIDが含まれるようになりました(gh#syncthing/syncthing#3524)。
- 他のデバイスが提供するディレクトリを無視できるようになりました(gh#syncthing/syncthing#3993)。
- 変更されたデバイス名は、再起動で有効になります。未知のデバイスにデバイス名は送信されません(gh#syncthing/syncthing#4164)。
- -no-restartオプションで起動した場合、CPU使用率が正しく表示されます(gh#syncthing/syncthing#4183)。
- ローカルデバイスサマリーのアイコンとディレクトリ情報が、ディレクトリ内のアイコンとディレクトリの情報と一致します(gh#syncthing/syncthing#4100)。
- KCPおよびSTUNでのデータ競合を修正します(gh#syncthing/syncthing#4177)。
- 新しく受け入れられたディレクトリのignoreパターンが、以前に追加されたディレクトリから誤って継承されなくなりました(gh#syncthing/syncthing#4203)。
- バージョン 0.14.29 に更新してください:
- グローバル変更ダイアログのレイアウトが改善されています(gh#syncthing/syncthing#3895)。
- rootまたはSYSTEMとして実行すると、これとは反対の内容を推奨する警告が表示されるようになりました(gh#syncthing/syncthing#4123)。
- テーマを変更しても、HTTPエラーが発生しなくなりました(gh#syncthing/syncthing#4127)。
- バージョン 0.14.28 に更新してください:
-REST APIを介してカスタムイベントサブスクリプションを作成できるようになりました(gh#syncthing/syncthing#1879)。
- 大きなディレクトリを削除しても消費するメモリが少なくなりました(gh#syncthing/syncthing#2250)。
- 最小ディスク空間(ディレクトリごとおよびホームドライブ用)が、絶対値に設定できるようになりました(gh#syncthing/syncthing#3307)。
- ディレクトリを一時停止または再構成しても、追加スキャンが開始されなくなりました。ディレクトリを一時停止するとスキャンが停止します(gh#syncthing/syncthing#3965)。
- ディレクトリ作成時、および一時停止中のディレクトリに対して、「パターンを無視する」が設定できるようになりました(gh#syncthing/syncthing#3996)。
- 標準設定ダイアログを使用して、権限のあるポートでリッスンするようにGUI/APIを構成することができなくなりました(gh#syncthing/syncthing#4020)。
- デバイス許可サブネットリストが、サブネットを無効にするネガティブ(「!」)エントリを含むことができるようになりました(gh#syncthing/syncthing#4096)。
-「変更のオーバーライド」を実行する際に消費するメモリが少なくなりました(gh#syncthing/syncthing#4112)。
- openSUSE Leapより古いopenSUSEではgolang.org/x/net/contextが必須です 15.x。
- バージョン 0.14.27 に更新してください:
- デバイスが、許可されたサブネットのリストを持つことができるようになりました(詳細設定)(gh#syncthing/syncthing#219)。
- 転送レート単位は、値をクリックすることで変更できるようになりました(gh#syncthing/syncthing#234)。
-「Introducer」を説明するUIテキストが改善されています(gh#syncthing/syncthing#1819)。
- 高度な構成エディタが、モノのリストを編集できるようになりました(gh#syncthing/syncthing#2267)。
- 新しいディレクトリ用に作成されたディレクトリは、ユーザーのumask設定に従うようになりました(gh#syncthing/syncthing#2519)。
- 着信インデックスの更新で、一貫性チェックが改善されました(gh#syncthing/syncthing#4053)。
- バージョン 0.14.26 に更新してください:
- Discoveryエラーは、GUIで以前よりも明瞭に表示されます(gh#syncthing/syncthing#2344)。
- GUIの言語ドロップダウンメニューが正しくソートされるようになりました(gh#syncthing/syncthing#3913)。
- 同期できなかったアイテムがある場合、そのフルパスがGUIに表示されます。
- バージョン 0.14.25 に更新してください:
-「Pause All(すべて一時停止)」/「Resume All(すべて再開)」アイコンを改善します(gh#syncthing/syncthing#4003)。
- 現在、デフォルトではmipsおよびmipsleのビルドが存在します(gh#syncthing/syncthing#3959)。
-「overwriteprotected files(保護されたファイルを上書きしています)」という警告が、構成ディレクトリへの相対パスを正しく処理するようになりました(gh#syncthing/syncthing#3183)。
- UDPでの転送のための実験的なKCPプロトコルが統合されましたが、現在デフォルトでは有効になっていません(gh#syncthing/syncthing#804)。
- バージョン 0.14.24 に更新してください:
- lib/sync:ロック解除ログの競合を修正します(gh#syncthing/syncthing#3884)。
- 可能な場合、リンクとログメッセージがhttpではなくhttpsを参照にするようにします(gh#syncthing/syncthing#3976)。
- ディレクトリごとのデフォルトのパラレルファイル処理ルーチンの数が2つ(以前は1つ)になり、同時に未処理のネットワークリクエストの数が増加しました。
- UIに、すべてのディレクトリを単一のアクションで一時停止または再開するボタンが含まれるようになりました。
- バージョン0.14.23に更新してください(0.14.21以降の変更):
- GUIパスワードフィールドで、先頭と末尾のスペースが削除されなくなりました(gh#syncthing/syncthing#3935)
- GUIに、ディレクトリごとに同期する残りのデータ量が表示されます(gh#syncthing/syncthing#3908)。
- グローバルログには空のエントリがなくなるはずです(gh#syncthing/syncthing#3933)。
- 現在、脆弱なハッシングは、パフォーマンスの観点から意味がある場合にのみデフォルトで有効化されます(gh#syncthing/syncthing#3938)。
- バージョン0.14.21に更新してください(0.14.19以降の変更):
- 既存のディレクトリの親であるディレクトリを追加する際に警告が表示されるようになりました(gh#syncthing/syncthing#3197)。
- -no-restartとともに-logfileフラグを使用すると、警告なしで失敗する代わりにエラーが発生するようになりました(gh#syncthing/syncthing#3912)。
- しきい値の割合が>100の場合、脆弱なハッシングが完全に無効になりました(gh#syncthing/syncthing#3891)。
- レート制限は、実際にARM64ビルドで再び動作するようになりました(gh#syncthing/syncthing#3921)。
- 特定の状況下でUPnPポートの割り当てが不適切になる問題を修正します(gh#syncthing/syncthing#3924)。
- 脆弱なハッシングは若干高速で、割り当てるメモリは少なくなります。
- 起動時にレポートされるハッシングパフォーマンスに、脆弱なハッシングが含まれるようになりました。
- GUIの「ネットワークエラー」ダイアログが、リバースプロキシの背後でSyncthingを使用する場合、一部のシナリオで簡単に表示されなくなりました。
- バージョン 0.14.19 に更新してください:
- 帯域幅のレート制限の変更が、再起動なしですぐに有効になります(gh#syncthing/syncthing#3846)
- イベントログ(-audit)をstderrに転送し、別のアプリケーションに接続できるようになりました(gh#syncthing/syncthing#3859)。
- 起動時のディレクトリリストでのパニックが修正されました(gh#syncthing/syncthing#3584)。
- ディレクトリが削除される場合、.stfolderマーカーも削除されます。ignoreファイルおよび.stversionsディレクトリが存在する場合、保持されます(gh#syncthing/syncthing#3857)。
- デバイスが「not a directory(ディレクトリではありません)」エラーで停止する複数のシナリオが、再び処理されるようになりました(gh#syncthing/syncthing#3819)。
- [about]ボックスのサードパーティ著作権が、最新のものになりました(gh#syncthing/syncthing#3839)。
- ハッシングパフォーマンスが向上しました(gh#syncthing/syncthing#3861)
- バージョン 0.14.18 に更新してください:
- 整列化が解除されたメッセージのために閉じられなくなった古いSyncthingバージョンへの接続を修正します:「proto:
wrong wireType = 2 for field BlockIndexes」(gh#syncthing/syncthing#3855)。
- バージョン 0.14.17 に更新してください:
- ディスクデータベースの破損によって引き起こされるパニックが、パニックメッセージでより適切に説明されるようになりました(gh#syncthing/syncthing#3689)。
- ポート番号のない静的に構成されたデバイスアドレスが、再びポート22000に正しくデフォルト設定されるようになりました(gh#syncthing/syncthing#3817)。
- Inotifyのクライアントは、「無効なサブパス」エラーを表示しなくなりました(gh#syncthing/syncthing#3829)。
- ディレクトリを一時停止できるようになりました(gh#syncthing/syncthing#215)。
- 変更の送受信の用語を標準化するために、「マスター」ディレクトリを「送信専用」と呼ぶようになりました(gh#syncthing/syncthing#2679)。
- デバイスとディレクトリの一時停止が再起動後も持続されるようになりました(gh#syncthing/syncthing#3407)。
- ローリングチェックサムを使用して、ファイル内で移動したブロックを識別し、再利用します(gh#syncthing/syncthing#3527)。
- Syncthingでは、詳細設定「trafficClass」によって構成された、発信パケットでtype-of-serviceフィールドの設定が許可されます(gh#syncthing/syncthing#3790)。
- 他のデバイスを導入したデバイスがGUIに表示されるようになりました(gh#syncthing/syncthing#3809)。
ソリューション
影響を受けるsyncthingパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 106072
ファイル名: openSUSE-2018-45.nasl
バージョン: 3.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2018/1/16
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 6.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P
CVSS v3
リスクファクター: High
基本値: 7.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:syncthing, cpe:/o:novell:opensuse:42.2, cpe:/o:novell:opensuse:42.3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2018/1/15
参照情報
CVE: CVE-2017-1000420