検出

SUSE SLED15 / SLES15 / openSUSE 15: bubblewrap、flatpak、wayland-protocols の推奨更新 (SUSE-SU-SUSE-RU-2025:0145-1)

critical Nessus プラグイン ID 214292

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-SUSE-RU-2025:0145-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 この bubblewrap 用更新プログラムである flatpak では、flatpak が 1.16.0 に更新されます。

 flatpak の変更:

 - バージョン 1.16.0 への更新:

 - バグの修正:

 - libglnx を 2024 年 12 月 6 日に更新:

 。親ディレクトリの作成中にダングリングシンボリックリンクに遭遇した場合のアサーション失敗を修正します。
 。Meson 警告を修正します。
 。デフォルトではターミナルプログレスインジケーターのエスケープシーケンスを発行しません。これらは、一部の端末エミュレーターによって通知として解釈されます。
 - libflatpak のイントロスペクション注釈を修正します。

 - 拡張機能:

 - 1.15.91 で追加されたターミナル進捗インジケーターのエスケープシーケンスを再有効化する FLATPAK_TTY_PROGRESS 環境変数を追加します。
 - FLATPAK_FANCY_OUTPUT 環境変数を文書化します。これにより、ターミナルに出力する際の装飾フォーマッティングを無効にすることができます。

 - バージョン 1.15.91 (不安定版) への更新:

 - 拡張機能:

 - FLATPAK_DATA_DIR 環境変数を追加します。これにより、Flatpak がリモートなどの構成ファイルの検索に使用するデータディレクトリの場所をランタイムにオーバーライドできます。これは、テストを実行する場合や、chroot で Flatpak をインストールする場合に便利です。
 - FLATPAK_DOWNLOAD_TMPDIR 変数を追加します。これにより、/var/tmp 以外のダウンロードディレクトリを使用できます。
 - 進捗エスケープシーケンスを放出します。ターミナルエミュレーターでこれを使用すると、Flatpak 操作の進行状況を検出し、グラフィカルユーザーインターフェースに表示できます。

 - バグの修正:

 - 欠落しているテストデータをインストールします。これにより、たとえば Debian の autopkgtest フレームワークで使用される ginsttest-runner を介した「as-installed」テストが修正されます。
 - Wayland ソケットがサンドボックス化されたアプリに渡される方法を統一および改善します。これにより、Flatpak アプリを起動するときに、security-context-v1 プロトコルを実装し、WAYland_DISPLAY 環境変数を設定するコンポジターによって発生する回帰が修正されるはずです。
 - 翻訳可能な文字列の複数形を修正します。

 バージョン 1.15.12 への更新:

 - cgroup 名における Flatpak アプリのプロセス ID の使用に戻ります。1.15.11 のインスタンス ID を使用すると、「追加データ」メカニズムを使用するアプリ、拡張機能、またはランタイムをインストールする際にクラッシュが発生します。これにより、インスタンス ID が設定されません。

 バージョン 1.15.11 からの変更:

 - 依存関係:

 - 別の xdg-dbus-proxy 実行可能ファイルを使用するために Flatpak をコンパイルするディストリビューションでは、バージョン 0.1.6 が推奨されます (ただし必須ではありません)。
 - xdg-dbus-proxy の最小値は 0.1.0 のままです。

 - 拡張機能:

 - WebKit などのアプリケーションが、サブサンドボックスのプロセスの AT-SPI アクセシビリティツリーをメインプロセスのツリーと接続できるようにします。
 。新しいサンドボックスパラメーター flatpak は --a11y-own-name を実行します。これは --own-name と類似していますが、アクセシビリティバス用です。
 flatpak-portal API v7: 新しい sandbox-a11y-own-names オプションを追加します。これは、${FLATPAK_ID}.* に一致する名前を受け入れます。デフォルトでは ${FLATPAK_ID}.Sandboxed.* に一致する名前で、アプリが org.a11y.atspi.Socket.Embedded メソッドを呼び出す可能性があります。flatpak run -vv $app_id は、適用可能なすべてのサンドボックス化パラメーターとそのソースを、オーバーライドを含めてデバッグメッセージとして表示します
 - USB デバイスリストを導入します。アプリは、--usb パラメーターを使用することで、アクセスする必要がある USB デバイスを事前にリストできます。受け入れられる構文の詳細については、man ページをチェックしてください。
 。USB デバイスへのアクセス拒否は、
 --no-usb パラメーターでも可能です。構文はと同じです --usb。
 。どちらのオプションもメタデータを保存するだけで、Flatpak 自体では使用されません。このメタデータは、アプリがアクセスを列挙およびリクエストできるデバイスを決定するために、(現時点ではまだ進行中の) USB ポータルで使用することを目的としています。
 - KDE 検索完了のサポートを追加します
 - Flatpak アプリのインスタンス ID を cgroup 名の一部として使用します。これにより、cgroup の命名規則との整合性が向上します。

 - バグの修正:

 - libglnx を 2024 年 8 月 23 日に更新:
 - openSUSE Tumbleweed など、-Werror=return-type を使用する環境のビルドを修正します
 - 古い GLib での G_PID_FORMAT のフォールバック定義を追加します
 - 新しい GLib での g_steal_fd() に対する警告を回避します
 - 新しい GLib と g_closefrom() バックポートの互換性を改善します
 - xdg-dbus-proxy の meson ラップファイルをバージョン 0.1.6 に更新します。
 - sd-bus や zbus など、認証ハンドシェイクをパイプライン処理する D-Bus 実装との互換性
 - godbus や zbus などの不連続なシリアル番号を使用する D-Bus 実装との互換性
 - ブロードキャスト信号は、TALK 権限を追加することなく許可される可能性があります
 - メモリリークを修正します

 - 内部変更:

 - const-correctness の向上
 - テストの shellcheck 警告を修正します

 - 証明書転送のために p11-kit-server に弱い dep を追加 (boo#1188902)
 - 「-Dmalcontent=disabled」を使用してペアレンタルコントロールを当面無効にし、xdg-desktop-portal の問題を回避します

 バージョン 1.14.10 への更新:

 - 依存関係: 別の bubblewrap (bwrap) 実行可能ファイルを使用するために Flatpak をコンパイルするディストリビューションでは、バージョン 0.10.0、バージョン 0.6.x 0.6.3、または
 --bind-fd オプションのバックポートを持つバージョンが必要です。これらのバージョンでは、このリリースのセキュリティ修正に必要な新しい機能が追加されています。
 - セキュリティ修正: 永続ディレクトリをマウントする際にシンボリックリンクをたどりません (--persist オプション)。これにより、悪意のあるアプリや危険にさらされているアプリが、シンボリックリンクを編集して、アプリに読み取りや書き込みが許可されていないはずのディレクトリを指し示すような、サンドボックスの回避を防ぐことができます。(bsc#1229157、CVE-2024-42472、GHSA-7hgv-f2j8-xw87)
 - ドキュメント: 1.12.x および 1.10.x ブランチをサポート終了としてマークします (#5352)
 - バージョン 1.14.9 は、GLib の古いバージョンとの非互換性によりリリースされませんでした。バージョン 1.14.10 により置き換えられます。

 バージョン 1.14.8 への更新:

 - 変更なし。このリリースは、リリース tarball 内の一致しないサブモジュールバージョンを修正するためにロールアウトされています。

 バージョン 1.14.7 への更新:

 - 新機能: アプリをインストールまたはアップグレードした後に、D-Bus セッションバス構成を自動的にリロードし、エクスポートされた D-Bus サービスを選択します (#3342)
 - バグの修正:
 - Flatpak アプリがホストシステムから継承しない環境変数のリストを展開します (#5765、#5785)
 - D-Bus system バスが利用できないときにアプリの起動を拒否しません (#5076)
 - データが新しい名前に移行された後に削除されたアプリの移行を繰り返しません (#5668)
 - 新しい GLib バージョンからの警告を修正します (#5660)
 - コンテナ環境変数を常に設定します (#5610)
 - flatpak ps で、どのアプリがバックグラウンドで実行されているかを知るために使用するバックエンドのリストに、xdg-desktop-portal-gnome を追加します (#5729)
 - 一時変数が /etc/profile.d/flatpak.sh からシェル環境に漏洩することを回避します (#5574)
 - ハッシュテーブルにオブジェクト ID を保存する際の、符号付き左シフトの未定義の動作を回避します (#5738)
 - ドキュメントにおける Docbook の有効性の修正 (#5719)
 - FUSE が利用できない場合にさらにテストをスキップします (#5611)
 - CVE-2024-32462 のテストにある誤解を招くコメントを修正します (#5779)
 - 内部変更:
 - Github ワークフローのレシピを修正します

 バージョン 1.14.6 への更新:

 - セキュリティ修正:
 - 実行可能な名前が bwrap(1) のコマンドラインオプションとして間違って解釈されないようにします。これにより、悪意のある、または危険にさらされているアプリが、サンドボックス外のファイルにアクセスできる .desktop ファイルを生成するように xdg-desktop-portal に要求する可能性のあるサンドボックス回避を防ぎます。(CVE-2024-32462、bsc#1223110)
 - その他のバグ修正:
 - アプリケーション名として <developer><name/></developer> を解析しません (#5700)

 balloonwrap の変更:

 0.11.0 に更新:

 * 新しい --overlay、--tmp-overlay、--ro-overlay および --overlay-src オプションにより、オーバーレイマウントを作成できます。この機能は、bubblewrap が setuid でインストールされている場合は利用できません。
 * 新しい --level-prefix オプションは、logger --prio-prefix や systemd-cat --level-prefix=1 などのツールで解析できる出力を生成します
 * バグ修正と開発者の目に見える変更

 バージョン v0.10.0 への更新:

 * 新機能: --[ro-]bind-fd オプションが追加されます。これは、time-of-check/time-of-use 攻撃なしに、ファイル記述子によって表されるファイルシステムをマウントするために使用できます。これは Flatpak のセキュリティ問題を解決する際に必要です。
 (CVE-2024-42472、bsc#1229157)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1188902

https://bugzilla.suse.com/1212476

https://bugzilla.suse.com/1216320

https://lists.suse.com/pipermail/sle-updates/2025-January/038111.html

https://www.suse.com/security/cve/CVE-2024-32462

https://www.suse.com/security/cve/CVE-2024-42472

プラグインの詳細

深刻度: Critical

ID: 214292

ファイル名: suse_SU-RU-2025-0145-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/1/17

更新日: 2025/1/17

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.1

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-32462

CVSS v3

リスクファクター: Critical

基本値: 10

現状値: 8.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2024-42472

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:system-user-flatpak, p-cpe:/a:novell:suse_linux:flatpak-zsh-completion, p-cpe:/a:novell:suse_linux:flatpak-remote-flathub, p-cpe:/a:novell:suse_linux:bubblewrap-zsh-completion, p-cpe:/a:novell:suse_linux:libflatpak0, p-cpe:/a:novell:suse_linux:bubblewrap, p-cpe:/a:novell:suse_linux:flatpak, p-cpe:/a:novell:suse_linux:flatpak-devel, p-cpe:/a:novell:suse_linux:typelib-1_0-flatpak-1_0, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:wayland-protocols-devel

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/1/16

脆弱性公開日: 2024/4/18

参照情報

CVE: CVE-2024-32462, CVE-2024-42472

SuSE: SUSE-RU-2025:0145-1