SUSE SLED15/ SLES15セキュリティ更新プログラム: flatpak、libostree、xdg-desktop-portal、xdg-desktop-portal-gtk (SUSE-SU-2021:1094-1)
high Nessus プラグイン ID 148387
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
flatpak、libostree、xdg-desktop-portal、xdg-desktop-portal-gtk のこの更新により、次の問題が修正されます。libostree :
バージョン2020.8への更新
LTO を有効にします。(bsc#1133120)
この更新には、スケーラビリティの改善とバグ修正が含まれています。
キャッシュ関連の HTTP ヘッダーがサマリーと署名でサポートされるようになったため、その間に変更がない場合は再度ダウンロードする必要はありません。
サマリーとデルタは、よりきめ細かいフェッチを実現するために修正されました。
アトミック変数、HTTP タイムアウト、および 32 ビットアーキテクチャに関連した複数のバグを修正しました。
静的データは、オフライン検証をより簡単にサポートするために署名できるようになりました。
複数の initramfs イメージがサポートされるようになりました。「メイン」initramfs イメージとローカル構成を表すセカンダリイメージを保持することが可能です。
ドキュメントは https://ostreedev.github.io/ostree/ に移動されました
ostree がデバイスツリーをサポートする前にシステムからアップグレードするときのアサーション失敗の修正。
ostree は、ファイルシステムの最大リンクカウントを回避するためにゼロサイズのファイルをハードリンクしなくなりました。
ostree は同じファイルシステム上にある「/」および「/boot」をサポートするようになりました。
GObject Introspection メタデータへの改善、一部の (表面上) 静的アナライザの修正、s390x の変更不可ビットの修正、systemd ユニットファイルの廃止されたビットのドロップ。
「読み取り専用 sysroot」の変更が読み取り専用の「/」で開始したシステムに sysroot 読み取り専用を不正確に残した回帰 2020.4 を修正します (それらの大部分は、少なくとも Fedora Silverblue/IoT)。
デフォルトの dracut config により、再現性が有効になりました。
新しい ostree admin ロック解除「--transient」があります。これは、「ライブ」更新をさらにサポートするための基礎となる必要があります。
「libsodium」を備えた新しい「ed25519」署名サポート。
stree コミットが新しい「--base」引数を取得しました。これにより、特に SELinux を使用するシステムにおいて「派生」コミットの構築が大幅に簡素化されます。
読み取り専用 sysroot の処理は、initramfs で実行するため、また信頼性を高めるために再実装されました。repo config での「readonly=true」フラグの有効化が推奨されています。
特に NFS で一時的な「staging」ディレクトリ OSTree 作成のロッキングにおける複数の修正。
新しい「timestamp-check-from-rev」オプションがプルに追加されました。これにより、ダウングレード保護の信頼性が向上し、Fedora CoreOS により使用されます。
新しい「--mirror」オプションを含む「コレクション」プルのために作成された複数の修正と拡張機能。
ostree commit コマンドが、すべての実行可能ファイルで「W^R」セマンティクスを強制する新しい「--mode-ro-executables」を学習しました。
OSTree commit のアーキテクチャの標準化に役立つ新しいコミットメタデータキー「OSTREE_COMMIT_META_KEY_ARCHITECTURE」を追加しました。これは、たとえば展開前にコミットがマシンのアーキテクチャと一致することをサニティチェックするために、クライアントサイドで使用される可能性があります。
「%_libexecdir」の無効な使用を停止します。
+ 適切な場合に「%{_prefix}/lib」を使用します。
+ systemd-generators に「_systemdgeneratordir」を使用します。
+ 「dracut.pc」に基づいて「_dracutmodulesdir」を定義します。これを機能させるために BuildRequires(dracut) を追加します。
xdg-desktop-portal :
バージョン 1.8.0 に更新してください:
systemd rpm マクロが systemd ユーザーサービスのインストール / アンインストール時間で呼び出されるよう確認します。
systemd-rpm-macros で BuildRequires を追加します。
openuri :
より多くの URL タイルのチューザーwoスキップを許可します
- 堅牢性の修正
filechooser :
- 現在のフィルターを戻します
- 「ディレクトリ」オプションを追加します
- 「書き込み可能」オプションを文書化します
camera :
- クライアントノードを目に見えるようにします
- pipewire プロキシを漏洩しません
ファイル記述子の漏洩を修正します
Testsuite の改善
更新済みのトランザクション。
document :
- オープンフィールドの使用を削減します
- 見つかったテストや問題をさらに追加します
- 適切な名前でディレクトリを漏洩します
- ディレクトリのエクスポートをサポートします
- 新しい fuse 実装
background: セグメンテーション違反wo
screencast: pipewire 0.3 を必要とします
snap とツールボックスのサポートを改善します
「/usr/bin/fusermount」を必要とします。「xdg-document-portal」はバイナリへ呼び出しを行います。(bsc#1175899) これがないと、ファイルまたは dir を選択できますが、何を実行しても効果が得られません
「%_libexecdir」が「/usr/libexec」に変更される問題を修正します
xdg-desktop-portal-gtk :
バージョン 1.8.0 に更新してください:
filechooser :
- 現在のフィルターを戻します
- 「ディレクトリ」オプションを処理して、ディレクトリを選択します
- 画像がある場合のみプレビューを表示します
screenshot: キャンセルを修正します
appchooser: クラッシュを回避します
wallpaper :
- 配置設定を適切にプレビューします
- ロックスクリーンオプションをドロップします
printing: 通知を改善します
更新済みのトランザクション。
settings: enable-animations の gsettings にフォールバックします
screencast: Mutter バージョン 3 までサポートします (新しい pipewire api バージョン 3)。
flatpak :
バージョン 1.10.2 にアップグレードします (jsc#SLE-17238、ECO-3148)
これは、flatpak アプリケーションがカスタムフォーマットの「.desktop 」ファイルを使用してホストシステムのファイルにアクセスする可能性がある攻撃を修正するセキュリティ更新プログラムです。
メモリリークを修正します
ドキュメントと翻訳の更新
Spawn ポータルは、utf8 以外のファイル名をより適切に処理します
setuid bwrap でシステムの flatpak ビルドを修正します
展開データなしで更新アプリのクラッシュを修正します
廃止された texinfo パッケージングマクロを削除します。
新しい repo 形式に対するサポートにより、更新がより高速になり、ダウンロードするデータが減少します。
systemd generator スニペットが、ログインパフォーマンスを改善するために、多数のシェルの代わりに flatpak 「--print-updated-env」を呼び出すようになりました。
「.profile」スニペットは、ssh を介してログインする際に gvfs デーモンの起動を回避するため、GVfs を無効にするようになりました。
Flatpak は、一般的でない構成において pulseaudio ソケットをより良く見つけられるようになりました。
ネットワークアクセスを備えたサンドボックスは、dns 検索を実行するために「systemd-resolved」ソケットへのアクセスも得られるようになりました。
Flatpak は、「--unset-env」を使用してサンボックス内の環境変数の設定解除をサポートします。「--env=FOO=」は、設定解除する代わりに FOO を空の文字列に設定するようになりました。
spawn ポータルには、サブサンドボックスで pid 名前空間を共有するオプションがあります。
このセキュリティ更新は、サンドボックスエスケープを修正します。サブサンドボックスの起動時に「flatpak run」コマンドの環境を制御することで、悪意のあるアプリケーションがサンドボックス外のコードを実行する可能性があります (bsc#1180996、CVE-2021-21261)
ppc64 のサポートを修正します。
flatpak-bisect および flatpak-coredumpctl を devel サブパッケージに移動し、メインパッケージへの python3 の依存を削除します。
LTO を有効にして、gobject-introspection が LTO で問題なく動作するようにします。(bsc#1133124)
OCI および extra-data の進捗レポートを修正しました。
インメモリサマリーキャッシュはより効率的です。
場合によっては、ループ内で認証がスタックしてしまう問題を修正しました。
認証エラーレポートを修正しました。
ランタイムおよびアプリ用の OCI 情報を抽出します。
匿名認証が失敗し、「y」が指定されている場合のクラッシュを修正しました。
flatpak 情報は、インストールが指定された場合、指定されたインストールだけに注目します。
ダウンロード中のサーバー HTTP エラーに対するエラーレポートを改善します。
今すぐアンインストールすると、それが依存するランタイム前にアプリケーションが削除されます。
アンインストール時にリモートからメタデータの更新を回避します。
FlatpakTransaction は、避けるべきすべての渡された ref を検証するようになりました。
リモート用のコレクション ID 設定の検証を追加しました。
s390 で seccomp フィルターを修正します。
spawn ポータルに対する堅牢性の修正。
システムインストールで更新をマスクするためのサポートを修正します。
マージされた「/usr」の一般的でないモデルで、distros のサポートを改善します。
localed/AccountService からの応答をキャッシュします。
「xdg-dbus-proxy」が開始に失敗する場合にハングを修正します。
cups ソケット検出で二重解放を修正します。
http エラーの場合、OCI authenticator は auth を要求しなくなりました。
「%{_libexecdir}」の無効な使用を修正して、systemd ディレクトリを参照します。
「%_libexecdir」が「/usr/libexec」に変更される問題を修正します
ref が変化しなかった場合、更新での認証ソフトウェアの呼び出しを回避します
ref がすでにインストールされている場合はトランザクションが失敗しません (トランザクションの開始後)
「--device=all」の場合に、ユーザーの flatpak 実行処理を修正します
異なるリモートからの拡張の処理を修正します
flatpak 実行 「--no-session-bus」を修正します
「FlatpakTransaction」には、クランアントが処理してトランザクションに必要な認証ソフトウェアをインストールできる新しい信号「install-authenticator」があります。これは、CLI コマンドで実行されます。
ホストのタイムゾーンデータが常に漏洩しているため、タイムゾーンの問題を抱える複数のアプリを修正しています。
サイドロードリポジトリを備えた USB スティックのプラグインを自動的に検出する新しい systemd ユニットがあります。
systemd generator の動作のほうが優れているため、デフォルトで「gdm env.d」ファイルはインストールされなくなりました。
「create-usb」は、デフォルトで部分的なコミットをエクスポートするようになりました
oci リモートで docker メディアタイプの処理を修正します
「remote-info --log」出力で件名を修正します
このリリースも、docker hub などで flatpak イメージをホストすることができます。
注: Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
この SUSE セキュリティ更新プログラムをインストールするには、YaST の online_update や「zypper patch」など、SUSE が推奨するインストール方法を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Linux Enterprise Module for Desktop Applications 15-SP2:
zypper in -t patch SUSE-SLE-Module-Desktop-Applications-15-SP2-2021-1094=1
SUSE Linux Enterprise Module for Basesystem 15-SP2:
zypper in -t patch SUSE-SLE-Module-Basesystem-15-SP2-2021-1094=1
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1133120
https://bugzilla.suse.com/show_bug.cgi?id=1133124
https://bugzilla.suse.com/show_bug.cgi?id=1175899
https://bugzilla.suse.com/show_bug.cgi?id=1180996
https://ostreedev.github.io/ostree/
プラグインの詳細
深刻度: High
ID: 148387
ファイル名: suse_SU-2021-1094-1.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2021/4/8
更新日: 2024/1/5
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.5
CVSS v2
リスクファクター: High
基本値: 7.2
現状値: 5.3
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2021-21261
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.7
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:flatpak, p-cpe:/a:novell:suse_linux:flatpak-debuginfo, p-cpe:/a:novell:suse_linux:flatpak-debugsource, p-cpe:/a:novell:suse_linux:flatpak-devel, p-cpe:/a:novell:suse_linux:flatpak-zsh-completion, p-cpe:/a:novell:suse_linux:libflatpak0, p-cpe:/a:novell:suse_linux:libflatpak0-debuginfo, p-cpe:/a:novell:suse_linux:libostree, p-cpe:/a:novell:suse_linux:libostree-1, p-cpe:/a:novell:suse_linux:libostree-1-1-debuginfo, p-cpe:/a:novell:suse_linux:libostree-debuginfo, p-cpe:/a:novell:suse_linux:libostree-debugsource, p-cpe:/a:novell:suse_linux:libostree-devel, p-cpe:/a:novell:suse_linux:system-user-flatpak, p-cpe:/a:novell:suse_linux:typelib-1_0-flatpak, p-cpe:/a:novell:suse_linux:typelib-1_0-ostree, p-cpe:/a:novell:suse_linux:xdg-desktop-portal, p-cpe:/a:novell:suse_linux:xdg-desktop-portal-debuginfo, p-cpe:/a:novell:suse_linux:xdg-desktop-portal-debugsource, p-cpe:/a:novell:suse_linux:xdg-desktop-portal-devel, p-cpe:/a:novell:suse_linux:xdg-desktop-portal-gtk, p-cpe:/a:novell:suse_linux:xdg-desktop-portal-gtk-debuginfo, p-cpe:/a:novell:suse_linux:xdg-desktop-portal-gtk-debugsource, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2021/4/7
脆弱性公開日: 2021/1/14
参照情報
CVE: CVE-2021-21261