openSUSEセキュリティ更新プログラム:docker / docker-runc / containerd / etc(openSUSE-2018-152)
medium Nessus プラグイン ID 106705
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このdocker、docker-runc、containerd、golang-github-docker-libnetworkの更新では、複数の問題を修正します:これらのセキュリティの問題が修正されました:
- CVE-2017-16539:oci/defaults.go dockerのDefaultLinuxSpec関数は、/proc/scsiパス名をブロックしていなかったため、攻撃者は、Dockerコンテナアクセスを悪用して/proc/scsi/scsi、別名SCSI MICDROP、に「scsi remove-single-device」を書き込むことで、データ損失(特定の古いLinuxカーネルを使用する場合)を引き起こすことが可能でした(bnc#1066801)
- CVE-2017-14992:dockerでコンテンツが検証されないため、リモートの攻撃者が細工されたイメージレイヤーのペイロード(gzipの爆撃とも呼ばれます)を介してサービス拒否を引き起こすことが可能でした。
(bnc#1066210)
以下のセキュリティ以外の問題が、修正されました。
- bsc#1059011:systemdサービスヘルパースクリプトが、daemonを起動するのに60秒のタイムアウトを使用していました。これは、deamonの起動に時間がかかる場合には不十分です。代わりに、サービスタイプを「simple」から「notify」に設定し、現在は不要なヘルパースクリプトを削除してください。
- bsc#1057743:新しいバージョンのdocker-libnetworkの新しい要件。
- bsc#1032287:docker systemd構成がありません。
- bsc#1057743:libnetwork要件の新しい「symbol」。
- bsc#1057743:ホストで利用できなくなった孤立した秘密データを持つ「古い」コンテナを処理する秘密パッチを更新してください。
- bsc#1055676:Dockerがユーザーの名前空間を有効にして実行される場合、ボリュームとマウントを正しく処理するようにパッチを更新してください。
- bsc#1045628::パッチを追加して、libdm操作を試行する前に、dmストレージドライバーがコンテナのrootfsマウントポイントを削除するようにします。これにより、ライブマウントがコンテナに漏洩する場合に複雑になるのを回避できます。
- bsc#1069758:Dockerをv17.09.1_ce(および旧式のdocker-image-migrator)にアップグレードします。
- bsc#1021227:bsc#1029320 bsc#1058173 -- コンテナモジュール内の遅延した除去/削除にdocker devicemapperのサポートを有効にします。
- bsc#1046024:起動後のDockerネットワークの切断を回避するための、DockerとSuSEFirewall2の間の正常なインタラクション。
- bsc#1048046:-buildmode=pieを使用して構築し、すべてのバイナリをPICにします。
- bsc#1072798:使われなくなったbridge-utilsとの依存関係を削除します。
- bsc#1064926:デフォルトでupstreamに一致するように --start-timeout=2mを設定します。
- bsc#1065109、bsc#1053532:Dockerが「docker info」でコミットIDを取得できるように、upstream makefileを使用します。
「docker-runc」パッケージは、古い「runc」パッケージの名前を変更しただけで、現在出荷するruncのDocker forkと一致します。この更新はSUSEからインポートされました:SLE-12:更新プロジェクトを更新します。
ソリューション
影響を受けるdocker / docker-runc / containerd/ etcパッケージを更新します。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1021227
https://bugzilla.opensuse.org/show_bug.cgi?id=1029320
https://bugzilla.opensuse.org/show_bug.cgi?id=1032287
https://bugzilla.opensuse.org/show_bug.cgi?id=1045628
https://bugzilla.opensuse.org/show_bug.cgi?id=1046024
https://bugzilla.opensuse.org/show_bug.cgi?id=1048046
https://bugzilla.opensuse.org/show_bug.cgi?id=1051429
https://bugzilla.opensuse.org/show_bug.cgi?id=1053532
https://bugzilla.opensuse.org/show_bug.cgi?id=1055676
https://bugzilla.opensuse.org/show_bug.cgi?id=1057743
https://bugzilla.opensuse.org/show_bug.cgi?id=1058173
https://bugzilla.opensuse.org/show_bug.cgi?id=1059011
https://bugzilla.opensuse.org/show_bug.cgi?id=1064926
https://bugzilla.opensuse.org/show_bug.cgi?id=1065109
https://bugzilla.opensuse.org/show_bug.cgi?id=1066210
https://bugzilla.opensuse.org/show_bug.cgi?id=1066801
https://bugzilla.opensuse.org/show_bug.cgi?id=1069468
プラグインの詳細
深刻度: Medium
ID: 106705
ファイル名: openSUSE-2018-152.nasl
バージョン: 3.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2018/2/9
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P
CVSS v3
リスクファクター: Medium
基本値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:containerd, p-cpe:/a:novell:opensuse:containerd-ctr, p-cpe:/a:novell:opensuse:containerd-ctr-debuginfo, p-cpe:/a:novell:opensuse:containerd-debuginfo, p-cpe:/a:novell:opensuse:containerd-debugsource, p-cpe:/a:novell:opensuse:containerd-test, p-cpe:/a:novell:opensuse:docker, p-cpe:/a:novell:opensuse:docker-bash-completion, p-cpe:/a:novell:opensuse:docker-debuginfo, p-cpe:/a:novell:opensuse:docker-debugsource, p-cpe:/a:novell:opensuse:docker-libnetwork, p-cpe:/a:novell:opensuse:docker-libnetwork-debuginfo, p-cpe:/a:novell:opensuse:docker-runc, p-cpe:/a:novell:opensuse:docker-runc-debuginfo, p-cpe:/a:novell:opensuse:docker-runc-debugsource, p-cpe:/a:novell:opensuse:docker-runc-test, p-cpe:/a:novell:opensuse:docker-test, p-cpe:/a:novell:opensuse:docker-test-debuginfo, p-cpe:/a:novell:opensuse:docker-zsh-completion, p-cpe:/a:novell:opensuse:golang-github-docker-libnetwork, p-cpe:/a:novell:opensuse:golang-github-docker-libnetwork-debugsource, cpe:/o:novell:opensuse:42.3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2018/2/8
参照情報
CVE: CVE-2017-14992, CVE-2017-16539