openSUSEセキュリティ更新プログラム：nextcloud（openSUSE-2020-1652）

high Nessus プラグイン ID 141387

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

nextcloudのこの更新プログラムでは、以下の問題が修正されています：

nextcloudバージョン20.0.0ではいくつかのセキュリティ問題が修正されます：

- NC-SA-2020-037 パスワードなしのWebAuthmのPINが要求されますが、検証されません

- NC-SA-2020-033（CVE-2020-8228）サインアップページにレート制限がありません

- NC-SA-2020-029（CVE-2020-8233、boo#1177346）再共有により権限を強化することができます

- NC-SA-2020-026 共有の作成呼び出しで指定されると、メールによる共有のパスワードがハッシュされません

- NC-SA-2020-023 暗号化に使用されるランダム性が強化されます

- 19.0.3への更新

- フロー内のリークの可能性のあるスコープを修正します（server#22410）

- body-loginルールをテーマで組み合わせ、明るい色の二要素とゲストスタイルを修正します（server#22427）

- グループフォルダと外部ストレージのクォータ警告を改善しました（server#22442）

- php docsビルドスクリプトを追加します（server#22448）

- 受け入れテストで不透明でないファイル行のアクションメニューのクリックを修正します（server#22503）

- recent contactsインタラクションでpostgresへのBLOBの書き込みを修正します（server#22515）

- ストレージラッパーを呼び出す前に、マウントIDを設定します（server#22519）

- S3エラー処理を修正します（server#22521）

- サイズが判明している場合にのみzip64を無効にします（server#22537）

- 空き領域計算を変更します（server#22553）

- 禁止された例外に再試行が設定されていない場合、partファイルを保持しません（server#22560）

- アプリパスワードの範囲外の更新を修正します（server#22569）

- 適切なrootを使用して、リソースのwebrootを特定します（server#22579）

- icewind/smbを3.2.7にアップグレードします（server#22581）

- ellipticを6.4.1から6.5.3に更新します（notifications#732）

- 暗号化フラグの切り替えを妨げていた回帰を修正します（privacy#489）

- ファイルシステムパターンの空白以外の文字を一致させます（serverinfo#229）

- StorageNotAvailableの例外をキャッチします（text#1001）

- パブリックエンドポイントの読み取り専用チェックを強化します（text#1017）

- memcacheからのトークンを使用する際のチェックを強化します（text#1020）

- Sessionidはintです（text#1029）

- テキストがフォーカスされている場合にのみCtrl-fを上書きします（text#990）

- davリクエストにX-Requested-Withヘッダーを設定します（viewer#582）

- 19.0.2への更新

- [stable19]最小検索長を2文字に短縮します（server#21782）

- [stable19] openssl_pkey_exportを$configで呼び出し、エラーをログに記録します。（server#21804）

- [stable19]共有エラーに関するエラーレポートを改善します（server#21806）

- [stable19] RequestedRangeNotSatisfiableの例外をDAVに記録しません（server#21840）

- [stable19]言語コードの解析を修正します（server#21857）

- [stable19] revokeShare()の誤字を修正します（server#21876）

- [stable19] webauthnのユーザーインタラクションを阻止します（server#21917）

- [stable19]マスターキーが有効化されている場合、暗号化の準備ができています（server#21935）

- [stable19]脆弱なコメントテストを無効にします（server#21939）

- [stable19] webauthnログインのユーザーIDを二重にエンコードしません（server#21953）

- [stable19] icewind/smbを3.2.6に更新します（server#21955）

- [stable19]デフォルトの共有権限を考慮します（server#21967）

- [stable19]管理者がゴミ箱の最大サイズを構成できるようにします（server#21975）

- [stable19] twofactor_backupcodesのリスクの高いテストを修正します（server#21978）

- [stable19] PHPUnitの廃止の警告を修正します（server#21981）

- [stable19]外部ストレージからオブジェクトストアのゴミ箱へのファイルの移動を修正します（server#21983）

- [stable19]メールによる共有で空白を無視します（server#21991）

- [stable19]リモートワイプ確認ダイアログの翻訳を適切にフェッチします（server#22036）

- [stable19]パラメーターが見つからない場合、parse_urlはnullを返します（server#22044）

- ellipticを6.5.2から6.5.3に更新します（server#22050）

- [stable19]グループメンバーの削除時に、ユーザーグループの共有を適切に削除します（server#22053）

- [stable19]多くのアプリを使用する場合、iPhoneでの高さを大きく修正します（server#22064）

- [stable19]ページ化された結果opを破棄する際に、新しいAPIでcookieを内部的にリセットします（server#22069）

- [stable19] GuzzleのInvalidArgumentExceptionを追加します（server#22070）

- [stable19] contactsmanagerは、結果の数を早期に制限します（server#22091）

- [stable19]長いパスワード入力でのブラウザのフリーズを修正します（server#22094）

- [stable19]グループのユーザー管理でメールと表示名も検索します（server#22118）

- [stable19]プレビュー生成時に大きな画像がメモリからアンロードされるようにしました（server#22121）

- [stable19]受信共有通知でのリモートユーザーの表示を修正します（server#22131）

- [stable19]ファイルシステムの変更を無視できる場合は、ディレクトリのmtime/サイズのためにキャッシュを再利用します（server#22171）

- [stable19]予期しない引数を削除します（server#22178）

- [stable19]ファイル転送で使用可能なスペースを特定できない場合は、終了しません（server#22181）

- [stable19]アプリインストール後の空の「more」アプリナビゲーションを修正します（server#22183）

- [stable19] config.sample.phpでデフォルトのlog_rotate_sizeを修正します（server#22192）

- [stable19] IN_CHAINが利用可能な場合にネストされたグループメンバーの読み取りのショートカット（server#22203）

- [stable19]ファイル記述子のchmodを修正します（server#22208）

- [stable19] rmdirでclearstatcache()を実行します（server#22209）

- [stable19]ファイル署名のSSE強化（server#22210）

- [stable19]重要な情報を含まないロギングメッセージを削除します（server#22215）

- [stable19]「電子メールは管理者によって変更されました」アクティビティを無効にするアプリ構成オプションを追加します（server#22232）

- [stable19]アップロード上の移動が失敗した場合、チャンクを削除します（server#22239）

- [stable19]重複セッションの警告を停止します（server#22247）

- [サードパーティ] Doctrine：引用符で囲まれていないstmtフラグメントのバックスラッシュエスケープを修正します（server#22252）

- [stable19]共有メールを無効にすることを許可します（server#22300）

- [stable19]無効化されたユーザーカウントをoccユーザーに表示します：レポート（server#22302）

- サードパーティを最後のstable19コミットに更新します（server#22303）

- [stable19]ログに記録された廃止のメッセージを修正します（server#22309）

- [stable19] CalDAV：共有を所有者に制限する機能を追加します（server#22333）

- [stable19]共有の更新時、またはパスワードが強制されなかったときにのみリンクをコピーします（server#22337）

- [stable19] nextcloud外部ストレージの暗号化オプションを削除します（server#22341）

- [stable19] l10n：WebAuthnのappidを修正します（server#22348）

- [stable19] limittogroupsが有効の場合、ユーザーを適切に検索します（server#22355）

- [stable19] SSE：レガシーフォーマットをオプトインします（server#22381）

- [stable19] CRLを更新します（server#22387）

- [stable19]連携した連絡先から欠落しているFNを修正します（server#22400）

- [stable19]イベントアイコンのサイズとテキストの配置を修正します（server#22414）

- [stable19] stecman/symfony-console-completionを0.8.0から0.11.0に更新します（3rdparty#457）

- [stable19] GuzzleのInvalidArgumentExceptionを追加します（3rdparty#474）

- [stable19] Doctrine：引用符で囲まれていないstmtフラグメントのバックスラッシュエスケープを修正します（3rdparty#486）

- [stable19] cypressを修正します（viewer#545）

- webpack vueグローバル構成に移動し、depsを更新します（viewer#558）

- 19.0.1への更新

- セキュリティ更新修正（CVE-2020-8183、NC-SA-2020-026、CWE-256）Nextcloud Server 19.0.0の論理エラーにより、最初のcreate API呼び出しで与えられるときに、共有パスワードの平文保存が発生しました。

- 19.0.0への更新

- 変更 Nextcloud Hub v19（コードネーム「home office」）は、チームでのリモートコラボレーションに向けての大きな前進です。このリリースでは、ビデオチャットにドキュメントのコラボレーションがもたらされ、パスワードなしのログインが導入され、パフォーマンスが向上します。これはメジャーリリースであり、変更ログが長すぎるためここに記載することはできません。ユーザーはgithubマイルストーンを参照して、マージされた内容を見つけることができます。新機能の簡単な概要：

- パスワードなしの認証および他の多くのセキュリティ対策

- Collaboraの提供による組み込みのOfficeドキュメント編集、グリッドビューなどを備えたTalk 9

- パフォーマンス、カレンダーへのDeckの統合、ゲストアカウントグループなどが大幅に改善されました。