Merge branch 'dev' into bookworm

2024-09-03 20:06:10 +02:00 · 2023-06-13 14:57:44 +02:00 · 2023-06-13 14:57:44 +02:00 · d1d6da8fcb
commit d1d6da8fcb
parent 5a2570a5d6 48ee78afa2
9 changed files with 102 additions and 14 deletions
--- a/debian/changelog
+++ b/debian/changelog
@ -4,6 +4,38 @@ yunohost (12.0.0) unstable; urgency=low

 -- Alexandre Aubin <alex.aubin@mailoo.org>  Thu, 04 May 2023 20:30:19 +0200

+yunohost (11.1.21.3) stable; urgency=low
+
+  - Fix again /var/www/.well-known/ynh-diagnosis/ perms which are too broad and could be exploited to serve malicious files x_x (84984ad8)
+
+ -- Alexandre Aubin <alex.aubin@mailoo.org>  Mon, 12 Jun 2023 17:41:26 +0200
+
+yunohost (11.1.21.2) stable; urgency=low
+
+  - Aleks loves xargs syntax >_> (313a1647)
+
+ -- Alexandre Aubin <alex.aubin@mailoo.org>  Mon, 12 Jun 2023 00:25:44 +0200
+
+yunohost (11.1.21.1) stable; urgency=low
+
+  - Fix stupid issue with code that changes /dev/null perms... (e6f134bc)
+
+ -- Alexandre Aubin <alex.aubin@mailoo.org>  Mon, 12 Jun 2023 00:02:47 +0200
+
+yunohost (11.1.21) stable; urgency=low
+
+  - users: more verbose logs for user_group_update operations ([#1668](https://github.com/yunohost/yunohost/pull/1668))
+  - apps: fix auto-catalog update cron job which was broken because --apps doesnt exist anymore (1552944f)
+  - apps: Add a 'yunohost app shell' command to open a shell into an app environment ([#1656](https://github.com/yunohost/yunohost/pull/1656))
+  - security/regenconf: fix security issue where apps' system conf would be owned by the app, which can enable priviledge escalation (daf51e94)
+  - security/regenconf: force systemd, nginx, php and fail2ban conf to be owned by root (e649c092)
+  - security/nginx: use /var/www/.well-known folder for ynh diagnosis and acme challenge, because /tmp/ could be manipulated by user to serve maliciously crafted files (d42c9983)
+  - i18n: Translations updated for French, Polish, Ukrainian
+
+  Thanks to all contributors <3 ! (Kay0u, Kuba Bazan, ppr, sudo, Tagada, tituspijean, Tymofii-Lytvynenko)
+
+ -- Alexandre Aubin <alex.aubin@mailoo.org>  Sun, 11 Jun 2023 19:20:27 +0200
+
 yunohost (11.1.20) stable; urgency=low

  - appsv2: fix funky current_version not being defined when hydrating pre-upgrade notifications (8fa823b4)
--- a/hooks/conf_regen/01-yunohost
+++ b/hooks/conf_regen/01-yunohost
@ -178,11 +178,13 @@ do_post_regen() {
    chown root:admins /home/yunohost.backup/archives
    chown root:root /var/cache/yunohost

+    [ ! -e /var/www/.well-known/ynh-diagnosis/ ] || chmod 775 /var/www/.well-known/ynh-diagnosis/
+
    # NB: x permission for 'others' is important for ssl-cert (and maybe mdns), otherwise slapd will fail to start because can't access the certs
    chmod 755 /etc/yunohost

-    chown root:root /etc/systemd/system/*.service
-    chmod 644 /etc/systemd/system/*.service
+    find /etc/systemd/system/*.service -type f | xargs -r chown root:root
+    find /etc/systemd/system/*.service -type f | xargs -r chmod 0644

    if ls -l /etc/php/*/fpm/pool.d/*.conf
    then
--- a/locales/fr.json
+++ b/locales/fr.json
@ -762,5 +762,9 @@
    "apps_failed_to_upgrade": "Ces applications n'ont pas pu être mises à jour : {apps}",
    "apps_failed_to_upgrade_line": "\n * {app_id} (pour voir le journal correspondant, faites un 'yunohost log show {operation_logger_name}')",
    "app_failed_to_download_asset": "Échec du téléchargement de la ressource '{source_id}' ({url}) pour {app} : {out}",
-    "app_corrupt_source": "YunoHost a pu télécharger la ressource '{source_id}' ({url}) pour {app}, malheureusement celle-ci ne correspond pas à la somme de contrôle attendue. Cela peut signifier qu'une défaillance temporaire du réseau s'est produite sur votre serveur, OU que la ressource a été modifiée par le mainteneur de l'application en amont (ou un acteur malveillant ?) et que les responsables du paquet de cette application pour YunoHost doivent investiguer et mettre à jour le manifeste de l'application pour refléter ce changement.\n    Somme de contrôle sha256 attendue : {expected_sha256}\n    Somme de contrôle sha256 téléchargée : {computed_sha256}\n    Taille du fichier téléchargé : {size}"
+    "app_corrupt_source": "YunoHost a pu télécharger la ressource '{source_id}' ({url}) pour {app}, malheureusement celle-ci ne correspond pas à la somme de contrôle attendue. Cela peut signifier qu'une défaillance temporaire du réseau s'est produite sur votre serveur, OU que la ressource a été modifiée par le mainteneur de l'application en amont (ou un acteur malveillant ?) et que les responsables du paquet de cette application pour YunoHost doivent investiguer et mettre à jour le manifeste de l'application pour refléter ce changement.\n    Somme de contrôle sha256 attendue : {expected_sha256}\n    Somme de contrôle sha256 téléchargée : {computed_sha256}\n    Taille du fichier téléchargé : {size}",
+    "group_mailalias_add": "L'alias de courrier électronique '{mail}' sera ajouté au groupe '{group}'",
+    "group_user_add": "L'utilisateur '{user}' sera ajouté au groupe '{group}'",
+    "group_user_remove": "L'utilisateur '{user}' sera retiré du groupe '{group}'",
+    "group_mailalias_remove": "L'alias de courrier électronique '{mail}' sera supprimé du groupe '{group}'"
 }
--- a/locales/pl.json
+++ b/locales/pl.json
@ -80,7 +80,7 @@
    "app_already_installed_cant_change_url": "Ta aplikacja jest już zainstalowana. URL nie może zostać zmieniony przy użyciu tej funkcji. Sprawdź czy można zmienić w `app changeurl`",
    "app_id_invalid": "Nieprawidłowy identyfikator aplikacji(ID)",
    "app_change_url_require_full_domain": "Nie można przenieść aplikacji {app} na nowy adres URL, ponieważ wymaga ona pełnej domeny (tj. ze ścieżką = /)",
-    "app_install_files_invalid": "Tych plików nie można zainstalować",
+    "app_install_files_invalid": "Te pliki nie mogą zostać zainstalowane.",
    "app_make_default_location_already_used": "Nie można ustawić '{app}' jako domyślnej aplikacji w domenie '{domain}' ponieważ jest już używana przez '{other_app}'",
    "app_change_url_identical_domains": "Stara i nowa domena/ścieżka_url są identyczne („{domain}{path}”), nic nie trzeba robić.",
    "app_config_unable_to_read": "Nie udało się odczytać wartości panelu konfiguracji.",
@ -136,7 +136,7 @@
    "backup_archive_corrupted": "Wygląda na to, że archiwum kopii zapasowej '{archive}' jest uszkodzone: {error}",
    "backup_cleaning_failed": "Nie udało się wyczyścić folderu tymczasowej kopii zapasowej",
    "backup_create_size_estimation": "Archiwum będzie zawierać około {size} danych.",
-    "app_location_unavailable": "Ten adres URL jest niedostępny lub powoduje konflikt z już zainstalowanymi aplikacja(mi):\n{apps}",
+    "app_location_unavailable": "Ten adres URL jest niedostępny lub koliduje z już zainstalowanymi aplikacjami:\n{apps}",
    "app_restore_failed": "Nie można przywrócić {app}: {error}",
    "app_restore_script_failed": "Wystąpił błąd w skrypcie przywracania aplikacji",
    "app_full_domain_unavailable": "Przepraszamy, ta aplikacja musi być zainstalowana we własnej domenie, ale inna aplikacja jest już zainstalowana w tej domenie „{domain}”. Zamiast tego możesz użyć subdomeny dedykowanej tej aplikacji.",
@ -179,5 +179,40 @@
    "certmanager_cert_install_success_selfsigned": "Pomyślna instalacja certyfikatu self-signed dla domeny '{domain}'",
    "certmanager_cert_renew_failed": "Nieudane odnowienie certyfikatu Let's Encrypt dla {domains}",
    "apps_failed_to_upgrade": "Nieudana aktualizacja aplikacji: {apps}",
-    "backup_output_directory_required": "Musisz wybrać katalog dla kopii zapasowej"
-}
+    "backup_output_directory_required": "Musisz wybrać katalog dla kopii zapasowej",
+    "app_failed_to_download_asset": "Nie udało się pobrać zasobu '{source_id}' ({url}) dla {app}: {out}",
+    "backup_with_no_backup_script_for_app": "Aplikacja '{app}' nie posiada skryptu kopii zapasowej. Ignorowanie.",
+    "backup_with_no_restore_script_for_app": "Aplikacja {app} nie posiada skryptu przywracania, co oznacza, że nie będzie można automatycznie przywrócić kopii zapasowej tej aplikacji.",
+    "certmanager_acme_not_configured_for_domain": "Wyzwanie ACME nie może zostać uruchomione dla domeny {domain}, ponieważ jej konfiguracja nginx nie zawiera odpowiedniego fragmentu kodu... Upewnij się, że konfiguracja nginx jest aktualna, używając polecenia yunohost tools regen-conf nginx --dry-run --with-diff.",
+    "certmanager_domain_dns_ip_differs_from_public_ip": "Rekordy DNS dla domeny '{domain}' różnią się od adresu IP tego serwera. Sprawdź kategorię 'Rekordy DNS' (podstawowe) w diagnozie, aby uzyskać więcej informacji. Jeśli niedawno dokonałeś zmiany rekordu A, poczekaj, aż zostanie on zaktualizowany (można skorzystać z narzędzi online do sprawdzania propagacji DNS). (Jeśli wiesz, co robisz, użyj opcji '--no-checks', aby wyłączyć te sprawdzania.)",
+    "confirm_app_install_danger": "UWAGA! Ta aplikacja jest wciąż w fazie eksperymentalnej (jeśli nie działa jawnie)! Prawdopodobnie NIE powinieneś jej instalować, chyba że wiesz, co robisz. NIE ZOSTANIE udzielone wsparcie, jeśli ta aplikacja nie będzie działać poprawnie lub spowoduje uszkodzenie systemu... Jeśli mimo to jesteś gotów podjąć to ryzyko, wpisz '{answers}",
+    "confirm_app_install_thirdparty": "UWAGA! Ta aplikacja nie jest częścią katalogu aplikacji YunoHost. Instalowanie aplikacji innych firm może naruszyć integralność i bezpieczeństwo systemu. Prawdopodobnie NIE powinieneś jej instalować, chyba że wiesz, co robisz. NIE ZOSTANIE udzielone wsparcie, jeśli ta aplikacja nie będzie działać poprawnie lub spowoduje uszkodzenie systemu... Jeśli mimo to jesteś gotów podjąć to ryzyko, wpisz '{answers}'",
+    "config_apply_failed": "Nie udało się zastosować nowej konfiguracji: {error}",
+    "config_cant_set_value_on_section": "Nie można ustawić pojedynczej wartości dla całej sekcji konfiguracji.",
+    "config_no_panel": "Nie znaleziono panelu konfiguracji.",
+    "config_unknown_filter_key": "Klucz filtru '{filter_key}' jest niepoprawny.",
+    "config_validate_email": "Proszę podać poprawny adres e-mail",
+    "backup_hook_unknown": "Nieznany jest hook kopii zapasowej '{hook}'.",
+    "backup_no_uncompress_archive_dir": "Nie istnieje taki katalog nieskompresowanego archiwum.",
+    "backup_output_symlink_dir_broken": "Twój katalog archiwum '{path}' to uszkodzony dowiązanie symboliczne. Być może zapomniałeś o ponownym zamontowaniu lub podłączeniu nośnika przechowującego, do którego on wskazuje.",
+    "backup_system_part_failed": "Nie można wykonać kopii zapasowej części systemu '{part}'",
+    "config_validate_color": "Powinien być poprawnym szesnastkowym kodem koloru RGB.",
+    "config_validate_date": "Data powinna być poprawna w formacie RRRR-MM-DD",
+    "config_validate_time": "Podaj poprawny czas w formacie GG:MM",
+    "certmanager_domain_not_diagnosed_yet": "Nie ma jeszcze wyników diagnozy dla domeny {domain}. Proszę ponownie uruchomić diagnozę dla kategorii 'Rekordy DNS' i 'Strona internetowa' w sekcji diagnozy, aby sprawdzić, czy domena jest gotowa do użycia Let's Encrypt. (Jeśli wiesz, co robisz, użyj opcji '--no-checks', aby wyłączyć te sprawdzania.)",
+    "certmanager_cannot_read_cert": "Wystąpił problem podczas próby otwarcia bieżącego certyfikatu dla domeny {domain} (plik: {file}), przyczyna: {reason}",
+    "certmanager_no_cert_file": "Nie można odczytać pliku certyfikatu dla domeny {domain} (plik: {file}).",
+    "certmanager_self_ca_conf_file_not_found": "Nie można znaleźć pliku konfiguracyjnego dla autorytetu samopodpisującego (plik: {file})",
+    "backup_running_hooks": "Uruchamianie hooków kopii zapasowej...",
+    "backup_permission": "Uprawnienia kopii zapasowej dla aplikacji {app}",
+    "certmanager_domain_cert_not_selfsigned": "Certyfikat dla domeny {domain} nie jest samopodpisany. Czy na pewno chcesz go zastąpić? (Użyj opcji '--force', aby to zrobić.)",
+    "config_action_disabled": "Nie można uruchomić akcji '{action}', ponieważ jest ona wyłączona. Upewnij się, że spełnione są jej ograniczenia. Pomoc: {help}",
+    "config_action_failed": "Nie udało się uruchomić akcji '{action}': {error}",
+    "config_forbidden_readonly_type": "Typ '{type}' nie może być ustawiony jako tylko do odczytu. Użyj innego typu, aby wyświetlić tę wartość (odpowiednie ID argumentu: '{id}')",
+    "config_forbidden_keyword": "Słowo kluczowe '{keyword}' jest zastrzeżone. Nie można tworzyć ani używać panelu konfiguracji z pytaniem o tym identyfikatorze.",
+    "backup_output_directory_forbidden": "Wybierz inną ścieżkę docelową. Kopie zapasowe nie mogą być tworzone w podfolderach /bin, /boot, /dev, /etc, /lib, /root, /run, /sbin, /sys, /usr, /var ani /home/yunohost.backup/archives",
+    "confirm_app_insufficient_ram": "UWAGA! Ta aplikacja wymaga {required} pamięci RAM do zainstalowania/aktualizacji, a obecnie dostępne jest tylko {current}. Nawet jeśli aplikacja mogłaby działać, proces instalacji/aktualizacji wymaga dużej ilości pamięci RAM, więc serwer może się zawiesić i niepowodzenie może być katastrofalne. Jeśli mimo to jesteś gotów podjąć to ryzyko, wpisz '{answers}'",
+    "app_not_upgraded_broken_system": "Aplikacja '{failed_app}' nie powiodła się w procesie aktualizacji i spowodowała uszkodzenie systemu. W rezultacie anulowane zostały aktualizacje następujących aplikacji: {apps}",
+    "app_not_upgraded_broken_system_continue": "Aplikacja '{failed_app}' nie powiodła się w procesie aktualizacji i spowodowała uszkodzenie systemu (parametr --continue-on-failure jest ignorowany). W rezultacie anulowane zostały aktualizacje następujących aplikacji: {apps}",
+    "certmanager_domain_http_not_working": "Domena {domain} wydaje się niedostępna przez HTTP. Sprawdź kategorię 'Strona internetowa' diagnostyki, aby uzyskać więcej informacji. (Jeśli wiesz, co robisz, użyj opcji '--no-checks', aby wyłączyć te sprawdzania.)"
+}
--- a/locales/uk.json
+++ b/locales/uk.json
@ -234,7 +234,7 @@
    "group_already_exist_on_system": "Група {group} вже існує в групах системи",
    "group_already_exist": "Група {group} вже існує",
    "good_practices_about_user_password": "Зараз ви збираєтеся поставити новий пароль користувача. Пароль повинен складатися не менше ніж з 8 символів, але хорошою практикою є використання більш довгого пароля (тобто гасла) і/або використання різних символів (великих, малих, цифр і спеціальних символів).",
-    "good_practices_about_admin_password": "Зараз ви збираєтеся поставити новий пароль адміністрування. Пароль повинен складатися не менше ніж з 8 символів, але хорошою практикою є використання більш довгого пароля (тобто парольного гасла) і/або використання різних символів (великих, малих, цифр і спеціальних символів).",
+    "good_practices_about_admin_password": "Зараз ви збираєтеся поставити новий пароль адміністрування. Пароль повинен складатися не менше ніж з 8 символів, але хорошою практикою є використання більш довгого пароля (тобто парольної фрази) і/або використання різних символів (великих, малих, цифр і спеціальних символів).",
    "global_settings_setting_smtp_relay_password": "Пароль SMTP-ретрансляції",
    "global_settings_setting_smtp_relay_user": "Користувач SMTP-ретрансляції",
    "global_settings_setting_smtp_relay_port": "Порт SMTP-ретрансляції",
@ -760,5 +760,11 @@
    "app_not_enough_ram": "Для встановлення/оновлення цього застосунку потрібно {required} оперативної пам'яті, але наразі доступно лише {current}.",
    "app_resource_failed": "Не вдалося надати, позбавити або оновити ресурси для {app}: {error}",
    "apps_failed_to_upgrade": "Ці застосунки не вдалося оновити:{apps}",
-    "apps_failed_to_upgrade_line": "\n * {app_id} (щоб побачити відповідний журнал, виконайте 'yunohost log show {operation_logger_name}')"
-}
+    "apps_failed_to_upgrade_line": "\n * {app_id} (щоб побачити відповідний журнал, виконайте 'yunohost log show {operation_logger_name}')",
+    "group_mailalias_add": "Псевдонім електронної пошти '{mail}' буде додано до групи '{group}'",
+    "group_mailalias_remove": "Псевдонім електронної пошти '{mail}' буде вилучено з групи '{group}'",
+    "group_user_add": "Користувача '{user}' буде додано до групи '{group}'",
+    "group_user_remove": "Користувача '{user}' буде вилучено з групи '{group}'",
+    "app_corrupt_source": "YunoHost зміг завантажити ресурс '{source_id}' ({url}) для {app}, але він не відповідає очікуваній контрольній сумі. Це може означати, що на вашому сервері стався тимчасовий збій мережі, АБО ресурс був якимось чином змінений висхідним супровідником (або зловмисником?), і пакувальникам YunoHost потрібно дослідити і оновити маніфест застосунку, щоб відобразити цю зміну.\n    Очікувана контрольна сума sha256: {expected_sha256}\n    Обчислена контрольна сума sha256: {computed_sha256}\n    Розмір завантаженого файлу: {size}",
+    "app_failed_to_download_asset": "Не вдалося завантажити ресурс '{source_id}' ({url}) для {app}: {out}"
+}
--- a/src/app.py
+++ b/src/app.py
@ -1653,7 +1653,14 @@ def app_shell(app):
        app -- App ID

    """
-    subprocess.run(['/bin/bash', '-c', 'source /usr/share/yunohost/helpers && ynh_spawn_app_shell '+app])
+    subprocess.run(
+        [
+            "/bin/bash",
+            "-c",
+            "source /usr/share/yunohost/helpers && ynh_spawn_app_shell " + app,
+        ]
+    )
+

 def app_register_url(app, domain, path):
    """
--- a/src/diagnosers/21-web.py
+++ b/src/diagnosers/21-web.py
@ -61,7 +61,7 @@ class MyDiagnoser(Diagnoser):

        self.nonce = "".join(random.choice("0123456789abcedf") for i in range(16))
        rm("/var/www/.well-known/ynh-diagnosis/", recursive=True, force=True)
-        mkdir("/var/www/.well-known/ynh-diagnosis/", parents=True)
+        mkdir("/var/www/.well-known/ynh-diagnosis/", parents=True, mode=0o0775)
        os.system("touch /var/www/.well-known/ynh-diagnosis/%s" % self.nonce)

        if not domains_to_check:
--- a/src/tests/test_apps.py
+++ b/src/tests/test_apps.py
@ -112,7 +112,7 @@ def app_expected_files(domain, app):
    if app.startswith("legacy_app"):
        yield "/var/www/%s/index.html" % app
    yield "/etc/yunohost/apps/%s/settings.yml" % app
-    if "manifestv2" in app:
+    if "manifestv2" in app or "my_webapp" in app:
        yield "/etc/yunohost/apps/%s/manifest.toml" % app
    else:
        yield "/etc/yunohost/apps/%s/manifest.json" % app
--- a/src/user.py
+++ b/src/user.py
@ -1259,7 +1259,9 @@ def user_group_update(
                )
            if mail in new_group_mail:
                new_group_mail.remove(mail)
-                logger.info(m18n.n("group_mailalias_remove", group=groupname, mail=mail))
+                logger.info(
+                    m18n.n("group_mailalias_remove", group=groupname, mail=mail)
+                )
            else:
                raise YunohostValidationError("mail_alias_remove_failed", mail=mail)