openSUSEセキュリティ更新プログラム:cf-cli(openSUSE-2019-1429)

high Nessus プラグイン ID 125328

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このcf-cliの更新では、次の問題を修正します:

cf-cliがバージョン6.43.0に更新されました(bsc#1132242)

拡張機能:

-「cf curl」では新しい「--fail」フラグがサポートされます(主にスクリプティング目的)。これはサーバーエラーに対して終了コード「22」を返します[story](https://www.pivotaltracker.com/story/show/130060949)

- 異なるエンドポイントを使用するように「cf delete-orphaned-routes」を改善しました。これにより、2人のユーザーが同時に孤立ルートを削除し、ルートをアプリケーションに関連付けるときに競合状態が発生する確率が低下します[story](https://www.pivotaltracker.com/story/show/163156064)

- cf servicesの速度が向上しました。個別のAPI呼び出しを行う代わりに、単一エンドポイントをヒットするようになりました

セキュリティ:

- CVE-2019-3781:CF CLIは、verbose/trace/debugでのユーザーのパスワードをサニタイズしません。

- verboseモードでのcf loginの実行に関する問題を修正します。この問題では、正規表現を含むパスワードが完全に編集されませんでした

- verboseモードでコマンド実行中にリフレッシュトークンが完全に編集されない問題を修正します

その他のバグ修正:

- cf curlstoryのヘルプテキストを更新します

- cf curlをV3 CC APIエンドポイントで使用している場合にリフレッシュトークンが適切に機能するようになりましたstory

- cf services storyのパフォーマンス低下を修正しましたstory

- cf delete-serviceではスペースをターゲットにしている必要がありますstory

- orgでサービスのアクセスをすでに有効にしている場合、その組織のサービスに対するcf enable-service accessは成功しますstory

cf-cliはバージョン 6.42.0 :

軽微な拡張機能:

-「cf restage」のヘルプテキストとコマンドの出力の最初の行が更新され、このコマンドを使用するとアプリのダウンタイムが発生することが示されました[story](https://www.pivotaltracker.com/story/show/151841382)

-「cf bind-route-service」のヘルプテキストが更新され、使用手順が明確になりました[story](https://www.pivotaltracker.com/story/show/150111078)

-「cf create-service-boker」のエラーメッセージが改善され、

- Golang 1.11.4にアップグレードされた無効なサービスブローカーカタログが原因でCC APIが「502」を返すときに役立つ内容が示されるようになりましたました[story](https://www.pivotaltracker.com/story/show/162745359)

-「cf unset-env」に短い名前「ue」を追加しました[story](https://www.pivotaltracker.com/story/show/161632713)

- 導入が予定されているサービス関連の機能に備えて新しい「broker」列が含まれるように、「cf marketplace」コマンドが更新されました。新しい機能では、複数のサービスが異なるサービスブローカーに関連付けられている限り、これらのサービスに同じ名前を指定できるようになります[story](https://www.pivotaltracker.com/story/show/162699756)

バグ:

- CLI「v6.41.0」でコードをリファクタリングすると、その後のコマンド実行でサービスプランビジビリティが作成される「cf enable-service-access -p plan」を修正しました。現在では、このコマンドは、リファクタリング前と同じように、サービスプランビジビリティの作成をスキップします[story](https://www.pivotaltracker.com/story/show/162747373)

-「cf rename-buildpack」のヘルプテキストが更新されました。更新前のテキストでは「-s」スタックフラグへの参照が欠落していました[story](https://www.pivotaltracker.com/story/show/162428661)

- ユーザーが「brew search cloudfoundry-cli」を使用するときのヘルプテキストを更新しました[story](https://www.pivotaltracker.com/story/show/161770940)

- ルートサービスに対して「cf service service-instance」を実行すると、ルートサービスのURLがキー値テーブルに表示されるようになりました[story](https://www.pivotaltracker.com/story/show/162498211)

バージョン 6.41.0 に更新してください:

拡張機能:

-「cf --help」が更新され、「delete」コマンドが含まれました[story](https://www.pivotaltracker.com/story/show/161556511)

バージョン 6.40.1 に更新してください:

バグ修正:

-ビルドパックとスタックの関連付け機能の最小バージョンを更新します。[CLI v6.39.0](https://github.com/cloudfoundry/cli/releases/tag/v6.39.0)でこの機能がリリースされた時点で、cc api versionの最小値として2.114が誤って設定されました。
- cc apiの最小バージョンが[`2.112`]に正しく設定されるようになりました(https://github.com/cloudfoundry/capi-release/releases/tag/1.58.0)。
[story](https://www.pivotaltracker.com/story/show/161464797)

- サービスインスタンス「cf service service-instance」の検査でのバグを修正しmさう。現在は、そのフィールドに入力するサービスに対して「documentation」のURLが正しく表示されます[story](https://www.pivotaltracker.com/story/show/161251875)

バージョン 6.40.0 に更新してください:

バグ修正:

- cf apiの末尾にスラッシュがあると、古いCC APIのリストコマンドが機能しなくなるバグを修正しますstory 古いバージョンのCC APIでは、API URLの末尾にスラッシュがあると、一部のリクエストが「不明なリクエスト」エラーで失敗します。現在ではこれらのリクエストが適切に処理されるようになりました。

バージョン 6.39.0 に更新してください:

拡張機能:

- cc api 3.27のユーザーに対して、cf startは新しいcf app v3出力を表示するように拡張されています。cc api 3.27またはそれ以前のユーザーに対しては、同じv2出力が表示されます。v3コマンドを使用してアプリを作成および起動し、その後cf stopおよびcf startを使用すると、ルートが存在していてもcf appのroutesプロパティは入力されませんstory

- cc api 3.27のユーザーに対して、cf restartは新しいcf app v3出力を表示するように拡張されています。cc api 3.27またはそれ以前のユーザーに対しては、同じv2出力が表示されます。story

- cc api 3.27のユーザーに対して、cf restageは新しいcf app v3出力を表示するように拡張されています。cc api 3.27またはそれ以前のユーザーに対しては、同じv2出力が表示されます。story

- cf pushの -d domainsのヘルプテキストが改善され、使用例が追加されましたstory

- cf v3-scaleは追加のアプリ情報を表示しますstory

- 内部ドメインを作成し、それがccの最初のドメインである場合、CLIは現在、その内部ドメインを無視し、代わりにアプリをプッシュするときに次の非内部ドメインを選択しますstory

バグ修正:

- Homebrewの未リリースのマスターブランチを使用してCF CLIのインストール(brew install cf-cli )を実行するmacOSのユーザーに対する修正story

- 最近のcc apiの変更により、cf pushを実行してcf appコマンドを監視すると、app displayが400エラーを返す問題を修正しますstory

- クライアント認証情報を使用すると(cf auth user pass --clientclient credentials)、組織を作成できなかったバグを修正します。現在では、create-orgにより、マニフェストに指定されているユーザーIDにロールが割り当てられますstory

4- cf startをリファクタリングしたときに、その作業の一部として、ロギングバックエンドとの初回接続のブロックを停止したために発生した問題を修正しました。現在では、NOAA接続が確立するか、またはデフォルトのダイヤルタイムアウト(5秒)が経過するまで、CLIがブロックしますstory

バージョン6.38.0に更新します:

拡張機能:

- 現在v3-sshプロセスタイプのデフォルトはwebですstory

- ユーザーが提供するサービスインスタンスのタグの設定のサポートが追加されましたstory

- 古いプロパティと変数置換を使用しようとする警告が警告が表示されるようになりましたstory

- 使用方法を更新しました。これにより、cf binaryの名前を変更できるようになり、すべてのコマンドで使用されるようになりましたstory

- cf eventsでは、クラッシュイベントでDiegoのcell_idとインスタンスguidが表示されるようになりましたstory

- cf serviceサービスインスタンステーブルの表示の改善が含まれています。この改善では、サービスインスタンス情報がバインディング情報とは別にグループ化されるようになりましたstory

- ユーザー提供サービスでのcf serviceによるサービスインスタンステーブル表示情報が変更されました。テーブルにステータスが追加されましたstory

バグ修正:

- 現在では、X-Cf-WarningsヘッダーのエスケープされたコンマをCLIが適切に処理するようになりました

バージョン 6.37.0 に更新してください:

機能強化

- api/cloudcontroller/ccv2パッケージが更新され、関数が追加されました#1343

- 2.69.0よりも古いAPIバージョン(現在公式にサポートされていないバージョン)を使用している場合に警告が表示されるようになりました

- 現在では、CLIが環境変数からユーザー名とパスワードを読み取るようになりました#1358

バグ修正:

- ユーザーに対してX-Cf-Warningsが表示されるときにエスケープ解除されないバグを修正します#1361

- CF_TRACE=1を使用すると、パスワードがサニタイズされるようになりました#1375およびトラッカー

バージョン 6.36.0 に更新してください:

バグ修正:

- cf/flagsライブラリのint64サポート、#1333

- Debianパッケージ、#1336

- WebアクションフラグがCLIで機能しません0.6.5、#1337

- cf pushによるアップロードが失敗する場合またはConsulがダウンしている場合にパニックが発生します、#1340および#1351

バージョン6.35.2に更新します:

バグ修正:

- サービスが組織に対して無効になっている場合に、より明確なサービス認証警告メッセージが表示されます、#1344の修正

この更新はSUSEからインポートされました:SLE-15:更新プロジェクトを更新します。

ソリューション

影響を受けるcf-cliパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1132242

https://github.com/cloudfoundry/capi-release/releases/tag/1.58.0

https://github.com/cloudfoundry/cli/releases/tag/v6.39.0

https://www.pivotaltracker.com/story/show/130060949

https://www.pivotaltracker.com/story/show/150111078

https://www.pivotaltracker.com/story/show/151841382

https://www.pivotaltracker.com/story/show/161251875

https://www.pivotaltracker.com/story/show/161464797

https://www.pivotaltracker.com/story/show/161556511

https://www.pivotaltracker.com/story/show/161632713

https://www.pivotaltracker.com/story/show/161770940

https://www.pivotaltracker.com/story/show/162428661

https://www.pivotaltracker.com/story/show/162498211

https://www.pivotaltracker.com/story/show/162699756

https://www.pivotaltracker.com/story/show/162745359

https://www.pivotaltracker.com/story/show/162747373

https://www.pivotaltracker.com/story/show/163156064

プラグインの詳細

深刻度: High

ID: 125328

ファイル名: openSUSE-2019-1429.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2019/5/22

更新日: 2024/5/21

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Low

基本値: 3.5

現状値: 2.6

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N

CVSS スコアのソース: CVE-2019-3781

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:cf-cli-test, cpe:/o:novell:opensuse:15.0, p-cpe:/a:novell:opensuse:cf-cli

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/5/21

脆弱性公開日: 2019/3/7

参照情報

CVE: CVE-2019-3781