検出

openSUSEセキュリティ更新プログラム:obs-service-tar_scm(openSUSE-2019-326)

critical Nessus プラグイン ID 122848

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

obs-service-tar_scm用のこの更新プログラムでは、以下の問題が修正されています:

対応済みセキュリティ脆弱性:

 - CVE-2018-12473:パストラバーサルの問題を修正しました。この問題により、ユーザーが相対パスを使用してリポジトリ外部のファイルにアクセスすることが可能でした(bsc#1105361)

 - CVE-2018-12474:細工されたサービスパラメーターにより予期しない動作が引き起こされる可能性がある問題を修正しました(bsc#1107507)

 - CVE-2018-12476:outfilenameパラメーターによってパッケージディレクトリ外部のファイルへの書き込みが可能になる問題を修正しました(bsc#1107944)

その他のバグ修正と変更:

 - 変更の出力形式としてUTF-8ロケールを優先します

 - KankuFileを追加しました

 - unicodeソースファイルの問題を修正します

 - specfileのRequiresにpython-sixを追加しました

 - エンコーディング処理を改善しました

 - bsc#1082696およびbsc#1076410を修正します

 - コンテナ内のunicodeを修正します

 - python3に移動します

 - changesgenerateのデバッグを改善するためロギングを追加しました

 - changesauthorが指定されていない場合に例外を発生させます

 - 欠落アドレスを示すため@opensuse.orgのアドレスの使用を中止します

 - argparse depを-commonパッケージに移動します

 - appimageでサブモジュールとsslのオプションを許可します

 - openSUSE:Toolsプロジェクトで使用されているspecファイルを同期します

 - svnのエンコーディングの問題をチェックし、適切なエラーメッセージを出力します

 - 新しいパラメーター「--locale」を追加しました

 - GNUmakefileでの個別のサービスファイルのインストール

 - specファイルにglibcをReccomendsとして追加しました

 - 破損したsvnキャッシュのクリーンアップ

 - obs_scmでのunicode問題に対する別の修正

 - ファイル名におけるunicodeの最終的な修正

 - prep_tree_for_archiveでのunicodeファイル名を修正する別の試み

 - prep_tree_for_archiveでのunicodeファイル名を修正する別の試み

 - prep_tree_for_archiveでのunicodeファイル名のバグを修正します

 - 前回のサービス実行から_service*_servicedata/changesファイルを再利用します

 - changeloggenerateのコミットメッセージにおけるunicode文字の問題を修正します

 - コミットメッセージにutf8文字が含まれる場合のエンコーディングの問題を修正します

 - 古い変更ファイルのエンコーディングを元に戻します

 - ハードコードされたutf-8エンコーディングを削除します

 - 抽出グロビングのサポートを追加します

 - GNUmakefileでpylint2を分割します

 - 「--reproducible」のチェックを修正します

 - 再現可能なobscpioアーカイブを作成します

 - 44b3beeからのリグレッションを修正します

 - GitのSSH URLもサポートします

 - obsinfoのname/versionオプションでスラッシュをチェックします

 - リモートURLのURLをチェックします

 - subdirパラメーターのシンボリックリンクをチェックします

 - ファイル名でスラッシュをチェックします

 - 抽出機能でfollow_symlinksを無効にします

 - このパッケージのobs_scmに切り替えます

 - appimageとsnapcraftのケースでdownload_filesを実行します

 - --extractファイルパスで親ディレクトリをチェックします

 - パラメーターの説明を修正します

 - os.removedirs -> shutil.rmtreeを変更しました

 - *tar*サービスの*package-metadata*オプションに関する情報を追加します。tarサービスは、*obscpio*サービスと組み合わせて使用すると非常に便利です。後者のメタデータの修正後に、*tar*サービスのユーザーに対し、メタデータが保持されるのは*package-metadata*フラグが有効な場合に限られることを通知することが重要です。これに言及するために、.serviceファイルにこのフラグを追加します。

 - 必要に応じて、CPIOアーカイブのメタデータ圧縮を許可します。現在、メタデータは常に*obscpio*パッケージから除外されています。これは、*package-metadata*フラグが無視されるためです。この変更により、*obscpio*はそれを認識できるようになります。

 - 破損したgitキャッシュディレクトリの処理を改善します

 - 空でない作業ツリーがある場合にのみgit stash save/popを実行します(#228)

 - DEBUG_TAR_SCMによる動作の変更を許可しません(#240)

 - 適切なものの代わりにスタブユーザードキュメントを追加します(#238)

 - クローンが失敗した場合にclone_dirを削除します

 - python-unittest2は、オプションのmake checkでのみ必要です。

 - python-unittest2 depをテストパッケージのみの部分に移動します(olhによる提案)

 - 冗長なpassステートメントの削除

 - logging関数のインポートの欠落

 - [バックエンド] HTTPプロキシサポートの追加

 - python-unittest2は、オプションのmake checkでのみ必要です。

 - scmのインストールをオプションにします

 - READMEに詳細情報をさらに追加します

 - prepare_working_copyでの--no-checkoutによるGitクローン

 - git prepare_working_copyをリファクタリングおよび簡素化します

 - 現在のdirがgitのように見える場合にのみこのdirを使用します(#202を修正)

 - test_obscpio_extract_dを再有効化します

 - 破損したテストcreate_archiveを修正します

 - 破損したリンクに対する破損したテストを修正します

 - GnumakefileのPREFIXを/usrに変更しました

 - 新しいcliオプション--skip-cleanup

 - 破損したリンクの修正

 - snapcraft YAMLファイルへの参照を修正します

 - TarSCM.scm.tar.fetch_upstreamでdocstringの誤字を修正します

 - dev docsの不備を認めます

 - READMEで長い行を折り返します

この更新はSUSEからインポートされました:SLE-15:更新プロジェクトを更新します。

ソリューション

影響を受けるobs-service-tar_scmパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1076410

https://bugzilla.opensuse.org/show_bug.cgi?id=1082696

https://bugzilla.opensuse.org/show_bug.cgi?id=1105361

https://bugzilla.opensuse.org/show_bug.cgi?id=1107507

https://bugzilla.opensuse.org/show_bug.cgi?id=1107944

プラグインの詳細

深刻度: Critical

ID: 122848

ファイル名: openSUSE-2019-326.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2019/3/14

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:obs-service-obs_scm-common, p-cpe:/a:novell:opensuse:obs-service-obs_scm, p-cpe:/a:novell:opensuse:obs-service-tar_scm, p-cpe:/a:novell:opensuse:obs-service-snapcraft, p-cpe:/a:novell:opensuse:obs-service-tar, p-cpe:/a:novell:opensuse:obs-service-appimage, cpe:/o:novell:opensuse:15.0

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/3/23

脆弱性公開日: 2018/10/2

参照情報

CVE: CVE-2018-12473, CVE-2018-12474, CVE-2018-12476