検出

openSUSEセキュリティ更新プログラム:claws-mail(openSUSE-2020-1822)

critical Nessus プラグイン ID 142560

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

claws-mail 用のこの更新は、次の問題を修正します:

 - claws-mailを処理するテンプレートの追加のクリーンアップが

3.17.8に更新されました(boo#1177967)

 - 実行されるコマンドラインで&& || などのシーケンス処理が許可されないように、テンプレートの |program()および|attach_program()を保護し、悪意のある、または少なくとも予期しないコマンドが実行されるのを防ぎます

 - バグ修正 claws#4376

 - 英語、フランス語、およびスペイン語のマニュアルを更新しました

 - 3.17.7への更新

- Image Viewer:画像の添付ファイルは、表示されるときに、高さではなく幅に合わせてサイズ変更されるようになりました。

 - -dは--debugのエイリアスになりました。

 - Libravatar プラグイン:サポートされる新しいスタイル:RobohashおよびPagan。

 - SpamAssassinプラグイン:「Maximum size」オプションがSpamAssassinの最大値に一致するようになりました。最大256MBのメッセージを処理できるようになりました。

 - LiteHTMLビューアープラグイン:UIが翻訳可能になりました。バグ修正:

 - バグ4313、「フォルダツリーの再構築での再帰スタックオーバーフロー」

 - バグ4372、「[pl_PL] 受信者なしで「Send later(後で送信)」してから「Close(閉じる)」の後にクラッシュします」

 - バグ4373、「mailto URIの二重解放がアタッチされます」

 - バグ4374、「mailto URIの挿入がチェックを免れます」

 - バグ4384、「U + 00AD(ソフトハイフン)が件名でスペースに変更されます」

 - バグ4386、「警告なしでユーザーIDのないSieve構成が許可されます」

 - アカウントの複製時に欠落しているSSL設定を追加します。

 - コマンドライン引数の解析。

 - PGP Coreプラグイン:キーリングによるアドレス入力のsegvを修正します。

 - Libravatar プラグイン:画像表示の修正。

 - 1500を超えるsuse_versionでpython-gtkプラグインを無効にします:EOLであるpython2にまだ依存しています。

 - 3.17.6 に更新します:

 - メッセージの移動およびメッセージのコピーダイアログで新しいフォルダを作成する際に、「親フォルダからフォルダのプロパティと処理ルールを継承」することが可能になりました。

 -(フィッシングURLのクリックに加えて)フィッシングURLをコピーする際にも、フィッシング警告が表示されるようになりました。

 - mboxファイルをインポートするときの進捗ウィンドウの応答性が向上しました。

 - 選択したプライバシーシステムが「None」で、自動署名および暗号化のいずれかまたは両方が有効になっている場合、警告ダイアログが表示されます。

 - Python プラグイン:pkgconfigがpython2のチェックに使用されるようになりました。これにより(python2を使用する)Pythonプラグインを、python2とpython3の両方がある新しいシステムで構築できるようになります。バグ修正:

 - バグ3922、「スタートアップ時のトレイの最小化が機能しません」

 - バグ4220、「コンテンツのないキャッシュでファイルが生成されます」

 - バグ4325、「画像取得時にリダイレクトに従います」

 - バグ4342、「mboxファイルのインポートコマンドが1行で2回動作しません」

 - STARTTLSプロトコル違反を修正します

 - 初期デバッグ行を修正します

 - c(署名のチェック)の直前にv(msgviewを非表示にする)が押されたときのファットフィンガー型のクラッシュを修正します

 - 一部のテンプレート文字列の非翻訳を修正します

 - 3.17.5への更新

 + インラインGitパッチに色構文の強調表示が含まれるようになりました。これらの色とパッチ添付ファイルは、一般設定の「Display/Colors(表示/色)」ページの「Other(その他)」タブで構成できます。

 + 以前は非表示だった設定「summary_from_show」が、UI内の一般設定の「Display/Summaries(表示/要約)」ページの「Message List(メッセージリスト)」タブにある「Displayed in From column [ ](送信元列[ ]に表示)」で構成できるようになりました。

 + 下書きフォルダを表示しているときのメッセージコンテキストメニューに「Re-edit(再編集)」が追加されました。

 + 追加の日付ヘッダー書式がサポートされます:

 - 平日、月、日、hh、mm、ss、年、ゾーン

 - 平日、月、日、hh、mm、ss、年

 + LiteHtmlビューアープラグイン:キーボードによるスクロールが実装されました。

 + 含まれているツール/スクリプトが更新されました:

 - eud2gc.pyがPython 3に変換されます

 - tbird2claws.pyがPython 3に変換されます

 - tbird2claws.pyがPython 3に変換されます

 - google_search.plはddg_search.plに置き換えられました(つまり、google.comの代わりにduckduckgo.com)

 - fix_date.shとそのドキュメントが更新されました

- multiwebsearch.pl「fm」(freshmeat.net)が削除されました。
 「google」は「ddg」に置き換えられました

 - 古いOOo2claws-mail.plスクリプトが削除されました

 + マニュアルを更新しました

 + 翻訳を更新しました:英国英語、カタロニア語、チェコ語、デンマーク語、オランダ語、フランス語、ドイツ語、ロシア語、スロバキア語、スペイン語、スウェーデン語、繁体字中国語、トルコ語

 + バグ修正:claws#2131、claws#4237、claws#4239、claws#4248、claws#4253、claws#4257、claws#4277、claws#4278、claws#4305

 + 修正されたその他のバグ:

 - タグにhrefがない場合のlitehtml_viewerのクラッシュを修正します

 -「The following file has been attached...(次のファイルが添付されました...)」というダイアログを削除しました

 - MBOXインポート:インポート中に残り時間をより適切に見積もり、ウィジェットをグレーアウトします

 -「vcard.c: 238: 2: warning: ‘strncpy’
 文字列からその長さと同じバイトをコピーするnulを終了する前に出力を切り捨てます」を修正しました

 - RSSyl:変更日と公開日が一致しない削除されたフィードアイテムの処理を修正します

- ターゲットフォルダの太字を修正します

 - 新しいアカウントを作成する際に、デフォルトアカウントからデータを事前入力しません

 - 手動フィルタリングでメッセージを移動する際に「デフォルト選択」設定を遵守します

 - 選択した部分が印刷を実装していないプラグインでレンダリングされた場合の空のページの印刷を修正します

 - アドレス帳フォルダ選択ダイアログ:フォルダリストがソートされていることを確認し、グローバル設定を適用してリストのストライプを取得します。

 - ユーザーがGPG署名パスフレーズダイアログをキャンセルするとき、ユーザーにエラーダイアログを表示しません

 - imapキーワード検索を修正します。Libetpanではキーワード検索は必須であると想定していますが、RFCでは可能としています。MS Exchangeの詳細検索を修正します

 - メッセージリストのShift+Spaceを修正し、逆に移動します

 - 添付ファイルとしての画像の貼り付けを元に戻します

 - パラメーターを必要とするコマンドライン引数に関するヘルプを修正します。

 - 印刷:パーツがテキストタイプの場合にのみ平文として印刷します

 - テキスト以外の部分を印刷しようとする際のデフォルト情報アイコンのセグメンテーション違反を修正します。

 - ビルド時のlibetpanバージョンにテストを追加し、実行時に適切なバージョンを要求します(boo#1157594)

 - 「Mark all read/unread(すべての既読/未読をマーク)」メニューエントリを属する場所に移動します。remove-MarkAll-from-message-menu.patch(claws#4278)add-MarkAll-to-folder-menu.patch(claws#4278)

 - litehtmlプラグインをTumbleweed上に構築します。

 - 3.17.4 に更新します:

 - 新しいHTMLビューアープラグイン:Litehtmlビューアー

 - /Configuration/Preferences/Other/Miscellaneousの「Keyboard shortcuts(キーボードショートカット)」フレームに「キーボードショートカットを有効にする(Enable keyboard shortcuts)」オプションを追加しました

 - 作成:添付画像のクリップボードへのコピーを実装しました

 - 作成:「Compose(作成)」ウィンドウに貼り付けることで、画像およびテキスト/URIリスト(ファイル)を添付できるようになりました

 - Python プラグイン:Pythonコンソール、「Open URLs(URLを開く)」および「Set mailbox order(メールボックスの順序を設定)」ウィンドウのウィンドウサイズが記憶されるようになりました。

 - Fancy プラグイン:ダウンロードリンク機能がリダイレクトに従うようになりました

 - MBOXエクスポート:ダイアログのEnterキーでエクスポートが開始されるようになりました

 - 日付(ISO形式)がログタイムスタンプに追加されました

 - 翻訳の更新

 - バグ1920、「NNTPの自動フィルタリングがありません」

 - バグ2045、「アドレス帳ブロックがメールウィンドウにフォーカスします」

 - バグ2131、「メールチェック後のフォーカス盗み取り」

 - バグ2627、「NNTPでフィルタリングが機能しません」

 - バグ3070、「URL文字が存在する場合のテキスト折り返しの誤動作」

 - バグ3838、「メッセージリストで右クリックをキャンセルすると、UIが一貫性のない状態になります」

 - バグ3977、「一部の外部APIが失敗した場合のクラッシュを修正します」

 - バグ3979「添付ファイルを抽出するアクション中に(killが必要な状態で)ハングアップします」

 - バグ4029、「ウィンドウ内のメッセージを削除した後のセグメンテーション違反」

 - バグ4031、「...のSSL/TLS証明書のフィンガープリント
 (回帰エラー)」

 - バグ4037、「いくつかの小さな問題を修正します」

 - バグ4142、「ロシア語の翻訳エラー」

 - バグ4145、「送信用プロキシサーバーが機能しません」

 - バグ4155、「最後に保存したディレクトリを記憶します」

 - バグ4166、「破損した二重リンクリスト」

 - バグ4167、「メールを転送時に最大行長を超えます」

 - バグ4188、「STLファイルが、添付ファイルではなく、平文のbase64表現として送信されます」

 - CID1442278、「バッファオーバーフローをトリガーできません」

 - メニューの主要なアクセラレーターをアドレス帳ウィンドウで機能するようにします

 - 表示/サマリー/デフォルト設定のチェックボックス選択を保存します

 -「Save email as...(名前を付けてメールを保存...)」をキャンセルする際にエラーをスローしません。

 - メッセージのドラッグアンドドロップで時折クラッシュします

 - vcalendarのCurlデータハンドラーでスタックオーバーフローが発生する可能性があります

 - LDAPアドレスソースがインデックスで定義されるとクラッシュしますが、

 サポートは無効になっています

 - MIMEパーツの1つに-IDがない場合、Fancyプラグインでクラッシュします

 -

 - scan_mailto_url()でのいくつかの軽微なメモリリーク

 - Pythonがインストールされていないまれな場合にスクリプトを構成します

 - sc_html_read_line()での不適切な文字セット変換。

 - pgpcoreの「キーは完全には信頼されていません(key not fully trusted)」という警告のマークアップ

 - rssyl_subscribe()のまれなコードパスにおけるメモリ解放後使用(Use After Free)

- 複数のメモリリーク

 - 新たに開始するためのverify_folderlist_xml()

 - size_tおよびgoffset引数のprintfフォーマット。

 - mimeview.cのwin32部分でのアラートパネルAPIの使用

 - kill_children_cb()のデバッグ出力におけるpid処理

 - w32_filesel.cの誤ったポインター演算

ソリューション

影響を受ける claws-mail パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1157594

https://bugzilla.opensuse.org/show_bug.cgi?id=1177967

プラグインの詳細

深刻度: Critical

ID: 142560

ファイル名: openSUSE-2020-1822.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/11/6

更新日: 2024/2/9

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2020-15917

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:claws-mail-lang, p-cpe:/a:novell:opensuse:claws-mail, cpe:/o:novell:opensuse:15.2, cpe:/o:novell:opensuse:15.1, p-cpe:/a:novell:opensuse:claws-mail-debuginfo, p-cpe:/a:novell:opensuse:claws-mail-devel, p-cpe:/a:novell:opensuse:claws-mail-debugsource

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/11/2

脆弱性公開日: 2020/7/23

参照情報

CVE: CVE-2020-15917