openSUSEセキュリティ更新プログラム：nextcloud（openSUSE-2018-936）

medium Nessus プラグイン ID 112141

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

バージョン13.0.5へのnextcloudの更新プログラムでは、以下の問題が修正されています：

キャッシュサイドチャネル攻撃の軽減：

- CVE-2018-3780：オートコンプリートフィールドの検索結果のサニタイズの欠落が修正されました。この問題により、ユーザー操作を必要とする蓄積型XSSが引き起こされる可能性がありました。サニタイズの欠落はユーザー名にのみ影響します。このため、認証されたユーザーのみが悪意のある検索結果を細工できる可能性があります。（boo#1105598）

その他のバグ修正：

- アップロードドロップゾーンのハイライトを修正します

- グループのメンバーにldapUserFilterを適用します

- グループのDELETIONをgroupIDのgreedyに一致させます

- 共有テーブルに親インデックスを追加します

- メッセージのみではなく、cronで例外全体を記録します

- パートファイルを使用しない場合にdavアップロードでターゲットファイルを適切にロックします

- 認証に失敗した場合にLDAPバックアップサーバーに対してクエリを実行してはなりません

- 統合テスト共有でのファイル名を修正します

- クォータ操作ケースのログレベルを引き下げます

- LDAPが無効なイメージデータを提供する場合に、ユーザーにnextcloudでavatarを設定させます

- smb接続エラーのロギングを改善しました

- 管理者が、アバターおよび特定の属性の取得を無効にできるようにします

- 暗号化を無効にできるようにします

- ファイルの共有解除時に表示されるメッセージを更新します

- 設定ページの英語の文法エラーを修正しました。

- DAV opendirに対して有効なプロパティをリクエストします

- セッション再生成でのトークンの更新を許可します

- memcacheバックエンドでロック値が負の値にならないようにします

- 数値のユーザーIDを持つユーザーを正しく処理します

- カレンダーのリンク（非）共有のsubjectパラメーターを正しく解析します

- コメントおよびチャットメッセージの電子メールアドレスの「解析」を修正します

- ロギング中にcreateSessionToken()でパラメーターをサニタイズします

- InvalidArgumentExceptionで名前変更操作を再試行します

- コメントのURL検出を改善します

- 最初のサーバーの構成が設定されている場合にのみ、ldapにバインドします

- PDF.jsのダウンロードマネージャーを使用してファイルをダウンロードします

- 削除されたスクリプトのロードの試行操作を修正します

- セッションのキープアライブが許可されている場合にのみ、新規メッセージをプルします

- オブジェクトデータを常にプッシュします

- Talkのための優先付けを追加します