検出

SUSE SLED15/ SLES15/ openSUSE 15 セキュリティ更新: osc (SUSE-SU-2024:2961-1)

medium Nessus プラグイン ID 205862

Language:

概要

リモートの SUSE ホストにセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:2961-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 - 1.9.0
 - セキュリティ:
 - .osc の特別なファイルを上書きする可能性を修正 (CVE-2024-22034 bsc#1225911) ソースファイルは現在、名前の衝突を防ぐ「sources」サブディレクトリに保存されています。そのため、「.osc」ストアのバージョンを 2.0 に変更する必要があります。
 - コマンドライン:
 - ビルド --checks パラメーターを導入
 - ライブラリ:
 - OscConfigParser: 自動の __name__ オプションを削除

 - 1.8.3
 - コマンドライン:
 -「repairwc」コマンドを変更して、常にすべての修復ステップを実行する
 - ライブラリ:
 - KeyinfoPubkey および KeyinfoSslcert モデルのほとんどのフィールドをオプションにする
 - colorize() を修正し、空の文字列がカラーエスケープシーケンスにラップされるのを回避する
 - get_results() 関数の kwargs.get/pop にデフォルト値を提供する

 - 1.8.2
 - ライブラリ:
 -「repairwc」コマンドを変更し、欠落している .osc/_osclib_version を修正する
 - check_store_version() のエラーメッセージをより一般的なものにし、プロジェクトとパッケージの両方で動作するようにする
 - プロジェクトストアの check_store_version を修正する

 - 1.8.1
 - コマンドライン:
 -「--disable-build」または「--disable-publish」オプションと共に使用した際の「linkpac」コマンドのクラッシュを修正する

 - 1.8.0
 - コマンドライン:
 -「submitrequest」コマンドを改善し、置き換えられたリクエストから説明を継承
 - ファイルの名前を複数回変更する場合の「mv」コマンドを修正
 - プロジェクトをサポートするために「info」コマンドを改善
 - チェックアウト外の「-M」/「--multibuild-package」オプションを受け入れることで、「getbinaries」コマンドを改善
 -「release」コマンドにアーキテクチャフィルタリングを追加
 -「results」コマンドを変更し、normal パッケージと multibuild パッケージの出力が同じになるようにする
 -「results」コマンドを変更し、csv を文字列としてフォーマットする代わりに csv ライターを使用
 -「results」コマンドに相互排他的なオプションの結合エラーを追加
 - csv 出力に対してのみ「results --format」のデフォルト値を設定
 - デフォルトのテキストモード用の「results --format」のサポートを追加
 -「results」コマンドの「--format」オプションのヘルプテキストを更新
 -「results --fail-on-error/-F」フラグを追加
 - stderr からの venv 警告をデバッグ出力にリダイレクトします
 - 構成:
- 重複するセクションまたはオプションで例外をスローするように構成パーサーを修正
 - conf.get_config() を変更して、アクセス許可の警告を stdout ではなく stderr に出力するようにする
 - ライブラリ:
 - obs_scm.Store で check_store_version() を実行し、プロジェクトおよびパッケージでの関連コードを修正
 -「cpio」アーカイブからの絶対パスでファイルを抽出することを禁止 (bsc#1122683)
 -「ar」アーカイブからの絶対パスでファイルを抽出することを禁止 (bsc#1122683)
 - core.unpack_srcrpm() から有効でなくなった警告を削除
 - obs_api.KeyinfoSslcert のキー ID および指紋フィールドをオプションにする
 - ビルド build.create_build_descr_data() の戻り値を修正
 -「multibuild_packages」引数に従うように core.get_package_results() を修正
 - テスト:
 - フィクスチャを変更しないようにテストを修正

 - 1.7.0
 - コマンドライン:
 -「person search」コマンドを追加
 -「person register」コマンドを追加
 -「-M/--multibuild-package」オプションを「[what]dependson」コマンドに追加
 -「maintainer」コマンドの「-U/--user」オプションを更新し、メールアドレスも受け入れるようにする
 -「branch」コマンドを修正し、存在しないパッケージで「--new-package」オプションを使用できるようにする
 -「buildinfo」コマンドを修正して、デフォルトで obs:cli_debug_packages を含める
 -「buildinfo」コマンドが完全なローカルビルド環境を送信するように「buildinfo」コマンドを修正しました。「build」コマンドが送信するようにする
 - 引数なしで作業コピー外で実行する場合にエラーが発生するように「maintainer --devel-project」を修正しま
 -「service remoterun prj/pac」の引数処理を修正
 -「rebuild」コマンドを修正し、「--all」オプションが「package」引数と競合するようにする
 -「linkpac」コマンドで dst パッケージメタから「scmsync」要素を削除する際のクラッシュを修正
 -「linkpac」コマンドで dst パッケージメタを読み込む際のクラッシュを修正
 -「osc rpmlint」が CWD から prj/pkg を推論できるようにする
 - run() および do_() コマンドラインメソッドから終了コードを伝播
 - scmsync git がホストされているヒントを提供
 - 不完全な仕様で作業する際の「updatepacmetafromspec」コマンドでのクラッシュを修正
 - rpmspec を呼び出してデータをクエリすることにより、rpm spec マクロを拡張するために「updatepacmetafromspec」コマンドを改善
 - BuildRequires を解析するために *.inc ファイルを OBS にアップロードすることにより、「build」および「buildinfo」コマンドを改善 (bsc#1221340)
 - 実行中のサービスの名前を印刷することで「service」コマンドを改善
 - バイナリ名が指定されている場合に、ソースおよび debuginfo フィルターを無視することで「getbinaries」コマンドを改善
 -「build_jobs」が > 0 の場合にのみ、「--jobs」オプションを「build」ツールに渡すように「build」コマンドを変更
 -「list」コマンドのヘルプを説明し、バイナリのリストには md5 チェックサムが含まれないことを明記
 -「log」コマンドを改善: 適切な CSV および XML 出力を生成し、テキスト出力に対して -p/--patch オプションを追加
 - setlinkrev が特定の vrev を設定できるようにする
 -「build」コマンドのヘルプで「--buildtool-opt=--noclean」の例を文書化
 - コマンドラインのデフォルトパッケージ引数の処理を修正
 - 構成:
- env 変数から設定を読み込むドキュメント
 - 接続:
 - エラー 400 で再試行しない
 - 現在は使用されていない「retry_on_400」http_request() オプションを XmlModel から削除
 -「core.server_diff() の 400 HTTP ステータスコードで再試行しない」を元に戻す
 -「接続: 400 HTTP ステータスコードで再試行を無効にすることを許可」を元に戻す
 - 認証:
 - SignatureAuthHandler を更新して、フィンガープリントによる ssh 鍵の指定をサポート
 - コメント「obs=<apiurl-hostname>」を含む ssh エージェントからの ssh キーを使用
 - SignatureAuthHandler のバイトの代わりに文字列を使用
 - SecretService からのパスワードをキャッシュして、承諾ダイアログによるユーザーのスパム行為を回避
 - ヘルプを表示する際に認証情報を求めない
 - 未使用の SignatureAuthHandler.get_fingerprint() を削除
 - ライブラリ:
 -「qemu」VM タイプに対するルートのないビルドのサポートを追加
 - scmsync プロジェクトからのパッケージのパッケージリンクをサポート
 - リクエスト ID の代わりに None を返すように do_createrequest() 関数を修正
 - BaseModel.dict() で、無効な「if」を「elif」に置き換え
 - 優先パッケージが定義されていない場合のクラッシュを修正
 - XML による操作をカプセル化する XmlModel クラスを追加
 - 新規ユーザーを登録するために obs_api.Person.cmd_register() を追加
 - oscrc perms を比較する際にファイルタイプビットを無視するために conf.get_config() を修正
 - conf.get_config() を修正し、環境変数が設定されている場合にオーバーライドを正しく処理
 - os.isatty() が OSError をスローする際の output.tty.IS_INTERACTIVE を修正
 - 改行文字に従うように cmdln.HelpFormatter を改善
 -「output.tty」モジュールのカラーコードのリストを更新
 - core.set_devel_project() のために core.setDevelProject() を削除
 - 削除する制御文字を output.sanitize_text() に移動
 - sanitize_text() を改善して、選択された CSI エスケープシーケンスを維持
 - 中間一時ファイルを作成せずにラインをページャーにパイプする output.pipe_to_pager() を追加
 - NamedTemporaryFile に関連する output.safe_write() を修正
 - output.run_pager() を最新化
 - output.print_msg() を拡張し、「to_print」引数の「error」および「warning」値を受け入れる
 - キーワード引数を xpath クエリに変換するために、XPathQuery クラスを追加
 - obs_api.Keyinfo クラスを追加
 - obs_api.Package クラスを追加
 - コミットログをリストするために Package.get_revision_list() を追加
 - OBS SCM ソースを処理するために obs_api.PackageSources クラスを追加
 - obs_api.Person クラスを追加
 - obs_api.Project クラスを追加
 - obs_api.Request クラスを追加
 - obs_api.Token クラスを追加
 - XmlModel インスタンスに apiurl を保存できるようにする
 - トップレベルのモデルからデフォルトのフィールド値を取得できるようにする
 - BaseModel を修正して、モデルリストの取得時に辞書をオブジェクトに変換
 - 初回使用時に常に変更可能なデフォルトを deepcopy するように BaseModel を修正
 - do_snapshot() および has_changed() メソッドを実装して、BaseModel の変更を判断
 - BaseModel の全順序付けを実装
 - 編集済みの XML に、利用可能な属性/要素のコメントを追加
 - リファクタリング:
 - repo の {list,add,remove} コマンドを obs_api.Project に移行
 - core.show_package_disabled_repos() を obs_api.Package に移行
 - core.Package.update_package_meta() を obs_api.Package に移行
 - core.get_repos_of_project() を obs_api.Project に移行
 - core.get_repositories_of_project() を obs_api.Project に移行
 - core.show_scmsync() を obs_api.{Package,Project} に移行
 - core.set_devel_project() を obs_api.Package に移行
 - core.show_devel_project() を obs_api.Package に移行
 - Fetcher.run() を obs_api.Keyinfo に移行
 - core.create_submit_request() を obs_api.Request に移行
 -「token」コマンドを obs_api.Token に移行
 -「whois/user」コマンドを obs_api.Person に移行
 -「signkey」コマンドを obs_api.Keyinfo に移行
 - print_msg() を「osc.output」モジュールに移動
 - run_pager() および get_default_pager() を「core」から「output」モジュールに移動
 - core.Package を obs_scm.Package に移動
 - core.Project を obs_scm.Project に移動
 - store を操作する関数をコアから obs_scm.store へ移動
 - store.Store を obs_scm.Store に移動
 - core.Linkinfo を obs_scm.Linkinfo に移動
 - core.Serviceinfo を obs_scm.Serviceinfo に移動
 - core.File を obs_scm.File に移動
 - _private.project.ProjectMeta を obs_api.Project にマージ
 - 仕様:
 - %python3_fix_shebang マクロを使用して、/usr/bin/python3 の依存関係を削除 (bsc#1212476)

 - 1.6.2
 - コマンドライン:
 -「branch」コマンドを修正し、存在しないパッケージで「--new-package」オプションを使用できるようにする
 -「buildinfo」コマンドを修正して、デフォルトで obs:cli_debug_packages を含める
 -「buildinfo」コマンドが完全なローカルビルド環境を送信するように「buildinfo」コマンドを修正しました。「build」コマンドが送信するようにする
 -「osc rpmlint」が CWD から prj/pkg を推論できるようにする
 - run() および do_() コマンドラインメソッドから終了コードを伝播
 - scmsync git がホストされているヒントを提供
 - 不完全な仕様で作業する際の「updatepacmetafromspec」コマンドでのクラッシュを修正
 - 認証:
 - SecretService からのパスワードをキャッシュして、承諾ダイアログによるユーザーのスパム行為を回避
 - ヘルプを表示する際に認証情報を求めない
 - ライブラリ:
 - scmsync プロジェクトからのパッケージのパッケージリンクをサポート
 - リクエスト ID の代わりに None を返すように do_createrequest() 関数を修正
 - BaseModel.dict() で、無効な「if」を「elif」に置き換え
 - 優先パッケージが定義されていない場合のクラッシュを修正

 - 1.6.1
 - コマンドライン:
 - 完了に busybox と互換性のあるコマンドを使用
 - 新しい get_user_input() 関数を使用するように「wipe」コマンドを変更
 -「meta attribute <prj>」実行時のエラー 500 を修正
 - 構成:
- 実際の構成ファイルへの構成シンボリックリンクの解決を修正
 - XDG_CONFIG_HOME および XDG_CACHE_HOME 環境変数を遵守
 - XDG_CONFIG_HOME および ~/.oscrc が存在する場合に ~/.config/osc/oscrc を無視することについて警告
 - ライブラリ:
 - scmsync パッケージをブランチングする際のエラー
 - ユーザー入力の一貫した処理のための新しい get_user_input() 関数
 - xml_indent、xml_quote、xml_unquote を osc.util.xml モジュールに移動
 - makeurl() をリファクタリングし、文字列またはリスト引数を取るクエリを廃止し、osc_urlencode() をドロップ
 - すべてのパスの引用を削除 (makeurl() に依存)
 - makeurl() で常に dict クエリを使用
 - core.slash_split() を修正し、先頭と末尾のスラッシュの両方を削除

 - 1.6.0
 - コマンドライン:
 -「token --trigger」コマンドは、デフォルトで「--operation=runservice」を設定しなくなった。
 -「token --create」コマンドを、「--operation」必須コマンドに変更
 -「linkdiff」コマンドエラー 400 を修正: prj/pac/md5 がリポジトリにない
 -「build」コマンドを更新し、updateinfo.xml データを使用して「productcompose」ビルドタイプのビルドをサポート
 - インタラクティブでないターミナルでメーターを表示しない
 - ブランチをプロジェクトにマッピングすることに失敗する任意の git リポジトリから osc を実行するときのトレースバックを修正 (bsc#1218170)
 - 構成:
- 環境変数からの認証情報の読み取りを実装
 - --configfile が空であるか、/dev/null を指している場合、空の構成で開始することを許可
 -「quiet」設定オプションを実装
 - パスワードを空の文字列にできる (通常、ssh 認証で使用)
 - 接続:
 - osc api リクエストでも -X HEAD を許可
 - ライブラリ:
 - 認証情報マネージャーが一貫してパスワードを返すように修正
 - python の Password.encode() を修正 3.8
 -「meter」モジュールをリファクタリングし、構成設定を使用して適切なクラスを選択
 - using f-strings に変換
 - Field.get_callback を使用して quiet/verbose および http_debug/http_full_debug オプションを処理
 - Field クラスへの戻り値の変更を可能にする get_callback を実装
 - List[BaseModel] タイプのサポートを Field クラスに追加
 - BaseModel オブジェクトのインスタンス化中にエラーを報告する際にクラス名を報告
 - BaseModel.dict() での空のモデルフィールドのエクスポートを修正
 - 辞書からのサブモデルインスタンスの初期化を修正
 - モデルで「Enum」サポートを実装
 - Optional タイプの Field.origin_type を修正
 - BaseModel.dict() メソッドから未使用の「exclude_unset」引数をドロップ
 - キャッシュされたモデルデフォルトを self._defaults に保存し、変更可能なデフォルトへの参照の共有を回避
 - その場で新しい属性を作成することを禁止することで、モデル属性を事前定義されたフィールドに制限
 - プライベート属性の代わりに、self._values dict にモデル値を保存
 - 仕様:
 - ssh 認証中に必要な ssh-add に対して openssh-clients を推奨
 - usptreamed されなかった 0%{?amzn} マクロを追加

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける osc パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1122683

https://bugzilla.suse.com/1212476

https://bugzilla.suse.com/1218170

https://bugzilla.suse.com/1221340

https://bugzilla.suse.com/1225911

https://lists.suse.com/pipermail/sle-updates/2024-August/036632.html

https://www.suse.com/security/cve/CVE-2024-22034

プラグインの詳細

深刻度: Medium

ID: 205862

ファイル名: suse_SU-2024-2961-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/8/20

更新日: 2024/8/20

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

CVSS v2

リスクファクター: Medium

基本値: 4.9

現状値: 3.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:C/A:N

CVSS スコアのソース: CVE-2024-22034

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 4.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:osc, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/8/19

脆弱性公開日: 2024/8/19

参照情報

CVE: CVE-2024-22034

SuSE: SUSE-SU-2024:2961-1