Fedora 28：flatpak（2018-4d68cf2b1c）

high Nessus プラグイン ID 120406

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

flatpak 1.0.6リリース。

このリリースは、システム全体でインストールされたアプリケーションが、app dir（/var/lib/flatpak/appのどこか）内にsetuid rootファイルを作成できる問題を修正しています。setuidサポートはflatpaksの内部で無効化されているため、このようなファイルは、ユーザーがflatpakの外部で手動で実行した場合にのみリスクとなります。

システム全体でのflatpakのインストールにはrootアクセスが必要なため、これは非rootユーザーの権限昇格ではなく、rootにsetuidファイルをインストールさせることは全ての従来のパッケージングシステムが許すことです。
ただし、flatpakは、サードパーティリポジトリをより簡単に信頼できるようにするために、それよりも優れているようにしています。

このバージョンでの変更：

- apply_extraスクリプトによって作成されるファイルの権限が正規化され、スクリプト自体が機能なしで実行されます。

- ローカルとリモートの構成がwrtコレクションIDで異なる場合の既存のリモートのマッチングを改善します。

- 新しいflatpakrepo DeployCollectionIDがCollectionIDを置き換え、同じことを行います。flatpakの古いバージョンにはコレクションIDのサポートにバグがあり、このキーは機能するバージョンでのみ尊重されるため、代わりにこれを使用することが推奨されます。

- X11ソケットは現在、読み取り専用でマウントされています。

----

flatpak 1.0.5リリース。

以前のバージョンには、ランタイムの/etcの一部が読み取り専用でマウントされない、サンドボックスのバグがありました。これは、ランタイムが（デフォルトではなく）ユーザーとしてインストールされた場合、アプリがランタイムでファイルを変更する可能性があることを意味します。ホストの何もランタイムファイルを使用していないため、これはサンドボックスの直接の回避ではありませんが、より高いアクセス許可を持つ別のアプリをアプリが混乱させ、権限を取得する可能性があります。

詳細な変更：

- /etc -> /usr/etc bind-mountsを読み取り専用にします。

- さまざまなアプリ固有の構成ファイルを読み取り専用にします。

- flatpakは、ostree configでの奇妙な名前の保存に関する問題を回避するために、リモート名についてよりうるさいです。

- バンドルのlibflatpak処理におけるセグメンテーション違反が修正されました。

- 翻訳を更新

- システムのインストールが破損した場合に、ユーザーがインストールしたアプリの実行で問題が発生するflatpak実行の回帰を修正しました。

Upstreamの変更に加えて、この更新はパッケージ問題も修正し、p11-kit-serverに欠如している依存関係を追加して、ホストTLS証明書へのアクセスを修正します。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるflatpakパッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2018-4d68cf2b1c

プラグインの詳細

深刻度: High

ID: 120406

ファイル名: fedora_2018-4d68cf2b1c.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

ファミリー: Fedora Local Security Checks

公開日: 2019/1/3

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:flatpak, cpe:/o:fedoraproject:fedora:28

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2018/11/27

脆弱性公開日: 2018/11/27

参照情報

FEDORA: 2018-4d68cf2b1c