検出

openSUSEセキュリティ更新プログラム: syncthing(openSUSE-2021-688)

high Nessus プラグイン ID 149541

Language:

概要

リモートの openSUSE ホストに、セキュリティ更新プログラムがありません。

説明

この syncthing 用の更新プログラムでは、次の問題が修正されています。

1.15.0/1.15.1 へ更新します

 - このリリースでは、無効な形式のリレープロトコルメッセージが原因で Syncthing およびリレーサーバーがクラッシュする可能性がある脆弱性が修正されます (CVE-2021-21404)。GHSA-x462-89pf-6r5h を参照してください。(boo#1184428)

 - このリリースは、サブコマンドを使用するように CLI を更新し、サブコマンド cli (以前はスタンドアロンの stcli ユーティリティ) および復号化 (暗号化されたフォルダのオフライン検証および復号化用) を追加します。

 - このリリースでは、「信頼されていない (暗号化された) デバイス」機能をテストすることを皆様に推奨しています。重要な実稼働データではまだ使用しないでください。したがって、UI コントロールは機能フラグの背後に隠れています。詳細については、こちらをご覧ください:
 https://forum.syncthing.net/t/testing-untrusted-encrypted-devices/16470

1.14.0への更新

 - このリリースでは、構成可能なデバイスおよびフォルダのデフォルトが追加されています。

 - /rest/db/browse エンドポイントの出力形式が変更されました。

1.13.1 への更新:

 - このリリースでは、最小 / 最大接続の構成オプションが追加され (https://docs.syncthing.net/advanced/option-connection-limits.html を参照)、保留中のデバイス / フォルダのストレージが構成からデータベースに移動されます (https://docs.syncthing.net/dev/rest.html#cluster-endpoints を参照)。

 - バグ修正

 - v1.13.0 の公式ビルドには、Tech Ui が付属しています。これを元に戻すことはできません

1.12.1 への更新:

 - 無効な名前が許可され、Windows のフォルダルートパスで「自動承認」されます

 - Syncthing の起動後に、一部のフォルダのインデックスが送信されない場合があります

 - [信頼できない] 予期しないアイテムを削除すると、問題が残ります

 - 選択のテーマが間違っています

 - Quic スパム送信のアドレス解決

 - ローカルで変更されたものとして表示されている、ローカルで変更されたアイテムを削除しました

 - どこかに href を生成するリモートの予期される Web UI ポートを指定できるようにします

 -ファイル無視を保存する際に fsync エラーを無視します

1.12.0への更新

 - 1.12.0 リリース

 - 新しい構成 REST API を追加します。

 - 1.11.0 リリース

 - アップグレードが検出されたときにすべてのインデックスデータを再送信するかどうかを制御する sendFullIndexOnUpgrade オプションを追加します。これは、
 --reset-deltas で Syncthing を開始することに相当します。これ (sendFullIndexOnUpgrade=true) は以前のバージョンの動作でしたが、主にトラブルシューティングの手順として役立ち、データベースのチャーンが高くなります。新しいデフォルトは false です。

 - 1.10.0 への更新

 - このリリースでは、グローバルディスカバリへのプライベート (RFC1918) LAN IP アドレスのアナウンスを有効 (デフォルト) または無効にする構成オプション announceLANAddresses が追加されています。

- 1.9.0 への更新

 - このリリースでは、大文字と小文字を区別しないファイルシステムの新しい安全な処理を無効にするために、高度なフォルダオプションである caseSensitiveFS (https://docs.syncthing.net/advanced/folder-caseSensitiveFS.html) が追加されています。

- 少なくとも Go 1.14 を要求して Leap ビルドを修正します

- ビルドシステムが Go モジュールをダウンロードしないようにします。これにより、ビルド中にインターネット接続が必要になります。

 - 1.8.0 への更新

 - 1.8.0 リリース

 - コピーオンライトサポートのあるファイルシステムで使用するために、実験的な copyRangeMethod 構成をフォルダに追加します。
 詳細については、https://docs.syncthing.net/advanced/folder-copyrangemethod.html を参照してください。

 - TCP ホールパンチングを追加します。これは、以前はリレーまたは QUIC 接続しか使用できなかった特定の NAT シナリオで、高性能 TCP 接続を確立するために使用されます。

 - クリーンアップを実行する頻度をファイルのバージョン管理に追加します。これはデフォルトで 1 時間に 1 回ですが、非常に頻繁に設定することも、設定しないことも可能です。

 - 1.7.0 リリースは、データベース移行を実行して、多数のデバイスを持つクラスターを最適化します。

 - 1.6.0 リリースは、データベーススキーマの移行を実行し、BlockPullOrder、DisableFsync および MaxConcurrentWrites フォルダオプションを構成スキーマに追加します。LocalChangeDetected イベントで、新しいファイルに対して追加されたアクションが設定されなくなりました。代わりに、すべてのローカルファイルの変更に対して変更が表示されます。

 - 1.5.0 リリースでは、一部の状況でインデックスデータベースのデフォルトの場所が変更されます。2 つの新しいフラグを使用して、構成 (-config) とデータベース (-data) の場所に別々に影響を与えることもできます。
 古い -home フラグは、これらの両方を同じディレクトリに設定することと同等です。フラグが与えられない場合、データの場所を決定するために次のロジックが使用されます。
 古いデフォルトの場所にデータベースが存在する場合、その場所が引き続き使用されます。これは、既存のインストールがこの変更の影響を受けないことを意味します。$XDG_DATA_HOME が設定されている場合は、$XDG_DATA_HOME/syncthing を使用します。~/.local/share/syncthing が存在する場合は、その場所を使用します。古いデフォルトの場所を使用します。

 - 1.4.2 に更新します:

 - バグ修正:

 - #6499: panic: 使用状況レポートの nil ポインターデリファレンス

 - その他の問題:

 - アップグレードサーバーに不必要な負荷をかけるアップグレードコードの変更を元に戻します

 - 1.4.1 に更新します:

 - バグ修正:

 - #6289: syncthing 1.3.3 以来の「一般 SOCKS サーバー障害」

 - #6365: GUI に表示されない接続エラー

 - #6415: v1.4.0 へのアップグレード後のデータベース移行「フォルダ db インデックスの欠落」におけるループ

 - #6422: QNAP NAS でのデータベース移行中の「致命的なエラー: runtime: メモリ不足」

 - 拡張機能:

 - #5380: gui: モーダルでフォルダ / デバイス名を表示します

 - #5979: UNIX ソケット許可ビット

 - #6384: 起動時に早期かつ同期的に自動アップグレードを実行します

 - その他の問題:

 - #6249: GUI から不要な RAM / CPU 統計を削除します

 - 1.4.0 に更新します:

 - 重要な変更:

 - 新しい構成オプション maxConcurrentIncomingRequestKiB

 - 構成オプション maxConcurrentScans を maxFolderConcurrency を置換します

 - データベーススキーマを改善します

 - バグ修正:

 - #4774: - no-restart 付きのサブシェルで実行する場合、Ctrl-C に反応しません (Linux)

 - #5952: panic: ファイルがない場合、必要に応じて削除されたファイルを取得すべきではありません

 - #6281: プログレスエミッターが 100% CPU を使用します

 - #6300: lib/ignore: panic: ランタイムエラー: インデックスが長さ 0 の範囲 [0] 外です

 - #6304: 同期の問題、データベースにシーケンスエントリがありません

 - #6335: クラッシュまたはハードシャットダウンにより、データベースの不一致、非同期が発生する可能性があります

 - 拡張機能:

 - #5786: 常にモニタープロセスを実行することを検討してください

 - #5898: データベースのパフォーマンス: 重複を減らします

 - #5914: フォルダの同時実行性を制限してパフォーマンスを改善します

 - #6302: グローバルリクエストリミッターによる群れの問題の発生を回避します

 - Go ビルド要件をより柔軟な「golang(API) > = 1.12」に変更します。

ソリューション

影響を受ける syncthing パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1184428

https://docs.syncthing.net/advanced/folder-caseSensitiveFS.html

https://docs.syncthing.net/advanced/folder-copyrangemethod.html

https://docs.syncthing.net/advanced/option-connection-limits.html

https://docs.syncthing.net/dev/rest.html#cluster-endpoints

http://www.nessus.org/u?6c4e0223

プラグインの詳細

深刻度: High

ID: 149541

ファイル名: openSUSE-2021-688.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2021/5/18

更新日: 2024/1/1

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2021-21404

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:syncthing-relaysrv, p-cpe:/a:novell:opensuse:syncthing, cpe:/o:novell:opensuse:15.2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/5/8

脆弱性公開日: 2021/4/6

参照情報

CVE: CVE-2021-21404