概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。
説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-SUSE-RU-2025:0145-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
bubblewrap、flatpak のこの更新では、flatpak が 1.16.0 に更新されます。
flatpak の変更点:
- バージョン 1.16.0 への更新:
- バグの修正:
- libglnx を 2024 年 12 月 6 日に更新:
。親ディレクトリの作成中にダングリングシンボリックリンクに遭遇した場合のアサーション失敗を修正します。
。Meson 警告を修正します。
。デフォルトでは、ターミナルの進行状況インジケーターのエスケープシーケンスを出力しません。それらは、一部のターミナルエミュレーターでは通知として解釈されます。
- libflatpak のイントロスペクション注釈を修正します。
- 拡張機能:
- 1.15.91 で追加されたターミナル進捗インジケーターのエスケープシーケンスを再有効化する FLATPAK_TTY_PROGRESS 環境変数を追加します。
- FLATPAK_FANCY_OUTPUT 環境変数を文書化します。これにより、ターミナルに出力する際の装飾フォーマッティングを無効にすることができます。
- バージョン 1.15.91 (不安定版) への更新:
- 拡張機能:
- FLATPAK_DATA_DIR 環境変数を追加します。これにより、Flatpak がリモートなどの構成ファイルの検索に使用するデータディレクトリの場所をランタイムにオーバーライドできます。これは、テストの実行時や、chroot 環境で Flatpak を使用してインストールする場合に役立ちます。
- FLATPAK_DOWNLOAD_TMPDIR 変数を追加します。これにより、/var/tmp 以外のダウンロードディレクトリを使用できます。
- 進捗エスケープシーケンスを放出します。ターミナルエミュレーターでこれを使用すると、Flatpak 操作の進行状況を検出し、グラフィカルユーザーインターフェースに表示できます。
- バグの修正:
- 欠落しているテストデータをインストールします。これは、たとえば Debian の autopkgtest フレームワークで使用される ginsttest-runner による「as-installed」テストを修正するはずです。
- Wayland ソケットがサンドボックス化されたアプリに渡される方法を統一および改善します。これにより、Flatpak アプリを起動するときに、security-context-v1 プロトコルを実装し、WAYland_DISPLAY 環境変数を設定するコンポジターによって発生する回帰が修正されるはずです。
- 翻訳可能な文字列の複数形を修正します。
バージョン 1.15.12 への更新:
- cgroup 名に Flatpak アプリのプロセス ID を使用する方式に戻します。1.15.11 のインスタンス ID を使用すると、「追加データ」メカニズムを使用するアプリ、拡張機能、またはランタイムをインストールする際にクラッシュが発生します。これにより、インスタンス ID が設定されません。
バージョン 1.15.11 からの変更:
- 依存関係:
- 別の xdg-dbus-proxy 実行可能ファイルを使用するために Flatpak をコンパイルするディストリビューションでは、バージョン 0.1.6 が推奨されます (ただし必須ではありません)。
- xdg-dbus-proxy の最小値は 0.1.0 のままです。
- 拡張機能:
- WebKit などのアプリケーションが、サブサンドボックスのプロセスの AT-SPI アクセシビリティツリーをメインプロセスのツリーと接続できるようにします。
。新しいサンドボックスパラメーター flatpak は --a11y-own-name を実行します。これは --own-name と類似していますが、アクセシビリティバス用です。
flatpak-portal API v7: 新しい sandbox-a11y-own-names オプションを追加します。これは、${FLATPAK_ID}.* に一致する名前を受け入れます。デフォルトでは ${FLATPAK_ID}.Sandboxed.* に一致する名前で、アプリが org.a11y.atspi.Socket.Embedded メソッドを呼び出す可能性があります。flatpak run -vv $app_id は、適用可能なすべてのサンドボックス化パラメーターとそのソースを、オーバーライドを含めてデバッグメッセージとして表示します
- USB デバイスリストを導入します。アプリは、--usb パラメーターを使用して、事前にアクセスする USB デバイスを一覧で指定できます。受け入れられる構文の詳細については、man ページを確認してください。
。USB デバイスへのアクセスを拒否することも可能です。
--no-usb パラメーターでも可能です。構文は --usb と同じです。
。どちらのオプションもメタデータを格納するだけであり、Flatpak 自体では使用されません。このメタデータは、(現時点ではまだ開発中の) USB ポータルが、アプリが列挙できるデバイスおよびアクセスを要求できるデバイスを判断するために使用されることを想定しています。
- KDE 検索完了のサポートを追加します
- Flatpak アプリのインスタンス ID を cgroup 名の一部として使用します。これにより、cgroup の命名規則との整合性が向上します。
- バグの修正:
- libglnx を 2024 年 8 月 23 日に更新:
- openSUSE Tumbleweed など、-Werror=return-type を使用する環境のビルドを修正します
- 古い GLib での G_PID_FORMAT のフォールバック定義を追加します
- 新しい GLib での g_steal_fd() に対する警告を回避します
- 新しい GLib と g_closefrom() バックポートの互換性を改善します
- xdg-dbus-proxy の meson ラップファイルをバージョン 0.1.6 に更新します。
- 認証ハンドシェイクをパイプライン化する D-Bus 実装 (sd-bus や zbus など) との互換性
- 連続しないシリアル番号を使用する D-Bus 実装 (godbus や zbus など) との互換性
- TALK 権限を追加せずにブロードキャスト信号を許可できます
- メモリリークを修正します
- 内部変更:
- const-correctness を改善します
- テストの shellcheck 警告を修正します
- 証明書転送のために p11-kit-server に弱い dep を追加 (boo#1188902)
- 「-Dmalcontent=disabled」を使用してペアレンタルコントロールを当面無効にし、xdg-desktop-portal の問題を回避します
バージョン 1.14.10 への更新:
- 依存関係: 別の bubblewrap (bwrap) 実行可能ファイルを使用するために Flatpak をコンパイルするディストリビューションでは、バージョン 0.10.0、バージョン 0.6.x 0.6.3、または
--bind-fd オプションのバックポートを持つバージョンが必要です。これらのバージョンでは、このリリースのセキュリティ修正に必要となる新機能が追加されています。
- セキュリティ修正: 永続ディレクトリをマウントする際にシンボリックリンクをたどりません (--persist オプション)。これにより、悪意のあるアプリや危険にさらされているアプリが、シンボリックリンクを編集して、アプリに読み取りや書き込みが許可されていないはずのディレクトリを指し示すような、サンドボックスの回避を防ぐことができます。(bsc#1229157、CVE-2024-42472、GHSA-7hgv-f2j8-xw87)
- ドキュメント: 1.12.x および 1.10.x ブランチをサポート終了としてマークします (#5352)
- バージョン 1.14.9 は、古いバージョンの GLib との非互換性のためリリースされませんでした。バージョン 1.14.10 がこれを置き換えます。
バージョン 1.14.8 への更新:
- 変更なし。このリリースは、リリース tarball 内の一致しないサブモジュールバージョンを修正するためにロールアウトされています。
バージョン 1.14.7 への更新:
- 新機能: アプリをインストールまたはアップグレードした後に、D-Bus セッションバス構成を自動的にリロードし、エクスポートされた D-Bus サービスを選択します (#3342)
- バグの修正:
- Flatpak アプリがホストシステムから継承しない環境変数のリストを展開します (#5765、#5785)
- D-Bus システムバスが利用できない場合でもアプリの起動を拒否しません (#5076)
- 新しい名前へデータが移行された後に削除されたアプリの再移行を試みません (#5668)
- 新しい GLib バージョンからの警告を修正します (#5660)
- コンテナ環境変数を常に設定します (#5610)
- flatpak ps で、どのアプリがバックグラウンドで実行されているかを知るために使用するバックエンドのリストに、xdg-desktop-portal-gnome を追加します (#5729)
- 一時変数が /etc/profile.d/flatpak.sh からシェル環境に漏洩することを回避します (#5574)
- ハッシュテーブルにオブジェクト ID を保存する際の、符号付き左シフトの未定義の動作を回避します (#5738)
- ドキュメント内の DocBook の妥当性を修正します (#5719)
- FUSE が利用できない場合にさらにテストをスキップします (#5611)
- CVE-2024-32462 のテストにある誤解を招くコメントを修正します (#5779)
- 内部変更:
- Github ワークフローのレシピを修正します
バージョン 1.14.6 への更新:
- セキュリティ修正:
- 実行可能な名前が bwrap(1) のコマンドラインオプションとして間違って解釈されないようにします。これにより、悪意のある、または危険にさらされているアプリが、サンドボックス外のファイルにアクセスできる .desktop ファイルを生成するように xdg-desktop-portal に要求する可能性のあるサンドボックス回避を防ぎます。(CVE-2024-32462、bsc#1223110)
- その他のバグ修正:
- アプリケーション名として <developer><name/></developer> を解析しません (#5700)
balloonwrap の変更:
0.11.0 に更新:
* 新しい --overlay、--tmp-overlay、--ro-overlay および --overlay-src オプションにより、オーバーレイマウントを作成できます。bubblewrap が setuid でインストールされている場合、この機能は利用できません。
* 新しい --level-prefix オプションは、logger --prio-prefix や systemd-cat --level-prefix=1 などのツールで解析できる出力を生成します
* バグ修正と開発者の目に見える変更
バージョン v0.10.0 への更新:
* 新機能: --[ro-]bind-fd オプションを追加します。これを使用して、time-of-check/time-of-use 攻撃の影響を受けずに、ファイルディスクリプタで表されるファイルシステムをマウントできます。これは、Flatpak のセキュリティ問題を解決する際に必要です。
(CVE-2024-42472、bsc#1229157)
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。
プラグインの詳細
ファイル名: suse_SU-RU-2025-0145-1.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:system-user-flatpak, p-cpe:/a:novell:suse_linux:flatpak-zsh-completion, p-cpe:/a:novell:suse_linux:flatpak-remote-flathub, p-cpe:/a:novell:suse_linux:bubblewrap-zsh-completion, p-cpe:/a:novell:suse_linux:libflatpak0, p-cpe:/a:novell:suse_linux:bubblewrap, p-cpe:/a:novell:suse_linux:flatpak, p-cpe:/a:novell:suse_linux:flatpak-devel, p-cpe:/a:novell:suse_linux:typelib-1_0-flatpak-1_0, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:wayland-protocols-devel
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: Exploits are available