検出

openSUSEセキュリティ更新プログラム:fossil(openSUSE-2020-1478)

high Nessus プラグイン ID 140690

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

fossil用のこの更新プログラムでは、以下の問題が修正されています:

 - fossil 2.12.1:

 - CVE-2020-24614:チェックインまたは管理権限のあるリモートの認証済みユーザーが、任意のコードを実行できる可能性がありました[boo#1175760]

 -「fossil git export」コマンドのセキュリティ修正。今後の同様の問題を防ぐために新しい「safety-net」機能が追加されました。

 - 単一のチェックインへの多数の自由選択のマージがある場合のグラフ表示の強化。


 - 新しい--workdirオプションと、リポジトリ名としてURLを受け入れる機能により、fossil openコマンドを強化し、リモートリポジトリが自動的に複製されるようにします。--keepオプションまたは新しい--forceオプションが使用されていない限り、空でない作業ディレクトリで「fossil open」を開きません。

 - markdownフォーマッターを強化して、テキストのハイライトに関してCommonMark仕様により厳密に従うようにします。識別子の中にあるアンダースコア(例:fossil_printf())をエスケープする必要がなくなりました。

 - markdown-to-htmlトランスレーターは、安全でないHTML(例:<script>)をフォーラムやチケット、wikiのようなユーザー投稿ページで防ぐことができます。管理者は、Admin/Wikiページのsafe-html設定を使用して、この動作を調整できます。デフォルトでは、安全でないHTMLはいずれの場所でも許可されません。

 - 長いフォーラム投稿に対して「折りたたみ」および「展開」機能を追加しました。

 -「fossil remote」コマンドに、シンボリック名で複数の永続リモートを指定するオプションが追加されました。現在は、一度に使用できるリモートは1つのみですが、将来は変更される可能性があります。

 - ログインページに「Remember me?(保存しますか?)」チェックボックスを追加します。チェックされていない場合、ログインにセッションクッキーを使用します。

 - チェックインの前またはプッシュの後に実行される「フックスクリプト」を管理するための実験的な「fossil hook」コマンドを追加しました。

 - fossil revertコマンドを強化し、ディレクトリの下のすべてのファイルを元に戻すことができるようにします。

 - fossil bisect skipコマンドを追加します。

 - fossil backupコマンドを追加します。

 - 最も内側の「good」チェックインと「bad」チェックインの間の未チェックのすべてのチェックインが表示されるように、fossil bisect uiを強化します。

 - --resetフラグを「fossil add」、「fossil rm」、および「fossil addremove」コマンドに追加しました。

 -「--min N」フラグと「--logfile FILENAME」フラグをbackofficeコマンドに追加し、backofficeコマンドを自動backofficeの有効な代替にするための他の拡張機能も追加しました。backofficeの漸進的なその他の改善。

 - テキストファイルをオンラインで編集できる/fileeditページを追加しました。セットアップユーザーによる明示的なアクティベーションが必要です。

 - 作り込みのヘルプテキストをHTMLに翻訳し、Webページに表示します。

 - /timeline Webページで、クエリパラメーター「p=CHECKIN」と「bt=ANCESTOR」の組み合わせにより、CHECKINのすべての祖先がANCESTORに戻ります。

 -「fossil sql」コマンドが新しい出力モード「.mode box」および「.mode json」をサポートするように、作り込みのSQLiteを更新します。

 -「obscure()」SQL関数を「fossil sql」コマンドに追加します。

 - 仮想テーブル「helptext」および「builtin」を「fossil sql」コマンドに追加し、すべてのヘルプテキストを含むディスパッチテーブルと作り込みのデータファイルへのアクセスを提供しました。

 - デルタ圧縮がフォーラム編集に適用されるようになりました。

 - wikiエディターが最新化され、Ajaxベースになりました。

 - fossil.1マニュアルページをパッケージ化します。

 - fossil 2.11.1:

 -「fossil git export」コマンドでタグ名に使用できる文字に関する制限を強化します

 - fossil-2.11-reproducible.patchを追加して、ビルド日付をオーバーライドします(boo#1047218)

ソリューション

影響を受けるfossilパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1047218

https://bugzilla.opensuse.org/show_bug.cgi?id=1175760

プラグインの詳細

深刻度: High

ID: 140690

ファイル名: openSUSE-2020-1478.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/9/21

更新日: 2024/2/20

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.5

現状値: 4.8

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS スコアのソース: CVE-2020-24614

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:fossil, p-cpe:/a:novell:opensuse:fossil-debuginfo, p-cpe:/a:novell:opensuse:fossil-debugsource, cpe:/o:novell:opensuse:15.1, cpe:/o:novell:opensuse:15.2

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/9/19

脆弱性公開日: 2020/8/25

参照情報

CVE: CVE-2020-24614