SUSE SLES15セキュリティ更新プログラム:podman、slirp4netns/libcontainers-common(SUSE-SU-2019:2223-1)
high Nessus プラグイン ID 128302
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
これは、podmanからバージョン1.4.4へのバージョン更新です(bsc#1143386)。上部におけるSUSEによる追加の変更:
fuse-overlayfsは、SLE上の(現在)満たされていない依存関係であるため、削除します(bsc#1143386)
適切なinfra_commandを使用するためにlibpod.confを更新します
改善されたバージョンの一時停止コンテナを使用するために、libpod.confを更新します
正式なkubicタイプの一時停止コンテナを使用するために、libpod.confを更新します
最新の機能セットと一致するようにlibpod.confを更新します:detach_keys、lock_type、runtime_supports_json
podman-remote varlinkクライアントを追加します
podmanのv1.4.4へのバージョン更新:機能
- 現在、Podmanは、複数のOCIランタイムを使用するコンテナに対するサポートを大幅に改善しています。コンテナは、
--runtimeを使用する異なるランタイムコンテナで作成されたかどうかを記憶し、常にそのランタイムを使用します
- ボリュームマウントのキャッシュされたオプションと委任されたオプションが、Dockerの互換性で許可されます(#3340)
- podman diffコマンドが--latestフラグのバグ修正をサポートするようになりました
- rootless構成がユーザーに存在しない場合、rootless Podmanがroot構成全体を使用しようとするバグを修正しました。これにより、新規インストールでrootless Podmanが破損されます。
- rootless Podmanの一時停止プロセスがSIGTERMをブロックし、システムの初期化がSIGKILLを送信するまでの正常なシステムシャットダウンとハングアップを防止するバグを修正しました
- rootなしでPodmanを少なくとも1回実行した後、sudo -EでrootとしてPodmanを実行するとバグが修正されました。
- --tmpfsフラグで追加されたtmpfsボリュームのオプションが無視されるバグを修正しました
- レイヤーのない画像がPodmanによって適切に表示および削除されない可能性があるバグを修正しました
- コンテナまたはポッドの作成に失敗したときにロックが適切に解放されないバグを修正しました
- 単一のファイルにpodman cpがターゲットにディレクトリを作成し、その中にファイルを置いてしまうバグを修正しました(#3384)
- podmanが--format 「{{.Mounts}}」を検査すると、コンテナのマウントの代わりに16進アドレスが印刷されるバグを修正しました
- rootless Podmanがコンテナの/etc/hostsファイルに自身のホスト名のエントリを追加しないバグを修正しました(#3405)
- podmanのps --syncがセグメンテーション違反するバグを修正しました(#3411)
- podmanがkubeを生成すると無効なポート構成が生成されるバグを修正しました(#3408)Misc
- コンテナ/ストレージをv1.12.13に更新しました
- Podmanが、I/O負荷が重いシステムでより優れたパフォーマンスを発揮するようになりました
- podmanに対する--cgroup-managerフラグは、デフォルトがlibpod.confによりオーバーライドされた場合に、ヘルプで適切なデフォルト設定を表示するようになりました
- 下位互換性のために、
podman runの--log-driver=json-fileが、--log-driver= k8s-fileのエイリアスとしてサポートされるようになりました。これは廃止予定であり、json-fileは将来新しい実装に移動される予定です([#3363](https://github.com/containers/libpo\d/issues/3363))
- Podmanのデフォルトのlibpod.confファイルにより、crun OCIランタイムがインストールされている場合に、これを使用できるようになりました
podmanをv1.4.2に更新してください:Podmanが古いバージョンのSystemdをinitとして使用してコンテナを実行できない可能性があるバグを修正しました
ベンダーのBuildahをv1.9.0に更新し、DockerfileのRUN命令に関する重大なバグを解決しました
実行していないコンテナでpodman killを実行する場合のエラーメッセージが改善されました
syslogが利用できない場合に、Podmanリモートクライアントがファイルにログを記録できるようになりました
podman execコマンドが、コンテナが存在しないかどうか、およびコンテナ内のコマンドが存在しないかどうかに基づいて、エラーコードを異なるように設定するようになりました
コンテナのpodman inspectコマンドは、docker inspectのものと一致するMounts JSONを出力するようになりました。これには、ユーザー指定のボリュームのみが含まれ、bindマウントとnamedボリュームは区別されます
podman inspectコマンドは、OCIConfigPathキーでコンテナのOCI仕様へのパスを報告するようになりました(コンテナが初期化または実行中の場合のみ含まれます)
podman run --mountコマンドは、bindマウントに対してbind-nonrecursiveオプションをサポートするようになりました
podmanプレイkubeが、詳細不明なログドライバーのためにコンテナの作成に失敗するバグを修正しました
Podmanがmusl libcでビルドに失敗するバグを修正しました
ローカルホスト以外のホストにネームサーバーがない環境でslirp4netnsネットワーキングを使用しているrootのないPodmanがネットワーキングを機能させないバグを修正しました
podmanのインポートが環境変数を適切に設定せず、それらの値を破棄し、キーのみを保持するバグを修正しました
Apparmorサポートで構築された場合に、Podmanの実行が失敗するが、Apparmorカーネルモジュールがロードされていないシステムでは実行されるバグを修正しました
Remote Podmanは現在、リモートシステムへのログインに使用するユーザー名を現在のユーザーのユーザー名にデフォルト設定します
Podmanは現在、JSONロギングとそれをサポートするOCIランタイムで使用し、より優れたエラーレポートを提供します
ベンダー提供のコンテナ/イメージをv2.0に更新しました
conmonをv0.3.0に更新してください
cgroup V2でのOOMモニターをサポート
構成バイナリを追加し、conmonを構成するためのターゲットを、値をインポートするためのgoライブラリで作成します
podmanをバージョン1.4.0(bsc#1137860)および(bsc#1135460)に更新しました。Podmanチェックポイントおよびpodman復元コマンドを使用して、異なるシステムのPodmanインストール間でコンテナを移行できるようになりました。
podman cpが一時停止フラグをサポートするようになりました。
リモートクライアントは、リモートのPodmanインストールへの接続を事前に構成するための構成ファイルをサポートするようになりました
CVE-2019-10152:バージョン1.1.0で導入した、podman cpコマンドのシンボリックリンクの不適切な逆参照を修正しました(bsc#1136974)。
podmanコミットが、=文字を含む環境変数を不適切に設定する可能性があるバグを修正しました
rootless podmanが転送されたポートでコンテナを起動できないことがあるバグを修正しました
リモートクライアントのpodmanバージョンがセグメンテーション違反を引き起こす可能性のあるバグを修正しました
実行中のコマンドを印刷するとき、podmanコンテナのrunlabelがPodmanコマンドのパスの代わりに/proc/self/exeを使用するバグを修正しました
ラベルによる画像のフィルタリングが機能しないバグを修正しました
イメージボリュームにbingマウントまたはtmpfsマウントを指定すると、コンテナが起動できないバグを修正しました
podmanがkubeを生成する際に、名前付きボリュームのあるコンテナで動作しないバグを修正しました
ルートのないpodmanがconmon.pidにアクセスする際にアクセス許可が拒否されたエラーを受け取るバグを修正しました
ターゲットとして指定されたフォルダーを伴うpodman cpが、フォルダーにコピーするのではなく、フォルダーを置き換えるバグを修正しました
rootlessのPodmanコマンドがロックを二重ロック解除し、クラッシュを引き起こす可能性があるバグを修正しました
podmanが/dev/マウントでtmpcopyupを不適切に設定し、Kataコンテナランタイムを使用する際にエラーを発生させていたバグを修正しました
podman execが古いカーネルで失敗するバグを修正しました
Podman commitコマンドが、Podmanリモートクライアントで使用可能になりました
署名ポリシーフラグが廃止されました
ベンダー提供のコンテナ/ストレージおよびコンテナ/イメージライブラリを多数のバグ修正で更新しました
ベンダーのBuildahをv1.8.3に更新しました
現在、PodmanにはConmon v0.2.0が必要です
podman cpコマンドはpodman container cpとしてエイリアスされます
rootless podmanは、rootless構成でオーバーライドされない場合、root Podmanの構成ファイル(/etc/containers/libpod.confおよび/usr/share/containers/libpod.conf)を使用するデフォルトのinit_pathになりました
ルートのないイメージ操作をベースとするオーバーレイをサポートするためにfuse-overlayfsの依存関係を追加しました
podman cpコマンドが、引数の代わりに-を使用して、STDINにリダイレクトされた入力を読み取り、ファイルの代わりにSTDOUTに出力できるようになりました。
podmanリモートクライアントは、クライアントとサーバーの両方からのバージョン情報をpodmanバージョンで表示するようになりました
podman unshareコマンドが追加され、rootless Podmanによって設定されたユーザーの名前空間に簡単に入力できるようになりました(他のものの中で、rootless podmanによって作成されたファイルの削除を可能にします)。
--rmフラグのあるPodmanコンテナが、自動的に削除された場合に、作成されたボリュームを削除していたバグを修正しました
システムの再起動後にコンテナとポッドのロックが誤ってリリース済みとマークされ、コンテナとポッドの削除でエラーが発生するバグを修正しました
ポッドのコンテナのいずれかが削除中にエラーに遭遇した場合に、Podmanポッドを削除できないバグを修正しました
cgroupfs CGroupドライバーで実行されるPodmanポッドが削除中に競合状態に遭遇し、ポッドCGroupの削除に失敗する可能性があるバグを修正しました
podmanコンテナチェックポイントおよびpodmanコンテナ復元コマンドがリモートクライアントに表示されないバグを修正しました
podmanリモートps --nsがコンテナの名前空間を印刷しないバグを修正しました
ヘルスチェックで停止したコンテナを削除するとエラーが発生する可能性があるバグを修正しました
デフォルトのlibpod.confファイルが解析エラーを引き起こしていたバグを修正しました
ポッドが削除されるときにポッドロックが解放されず、ロックの消耗につながる可能性があるバグを修正しました
SD_NOTIFYが設定された「podman run」が、短時間実行されるコンテナ上で一貫性のない状態を作成し、コンテナを使用不可能にする可能性があるバグを修正しました
リモートのPodmanクライアントは、Varlinkブリッジを使用して、デフォルトでリモート接続を確立するようになりました
apparmor_parserの問題を修正しました(bsc#1123387)
libpod v1.4.0への更新(bsc#1137860):
Podmanチェックポイントおよびpodman復元コマンドを使用して、異なるシステムのPodmanインストール間でコンテナを移行できるようになりました。
podman cpコマンドが、コンテナにコピーする際にコンテナを一時停止する一時停止フラグをサポートするようになりました
リモートクライアントは、リモートのPodmanインストールへの接続を事前に構成するための構成ファイルをサポートするようになりました
修正済みCVE-2019-10152 - podman cpコマンドが、ホストコンテキストのシンボリックリンクを不適切に逆参照していました
podmanコミットが、=文字を含む環境変数を不適切に設定する可能性があるバグを修正しました
rootless Podmanが転送されたポートでコンテナを起動できないことがあるバグを修正しました
リモートクライアントのpodmanバージョンがセグメンテーション違反を引き起こす可能性のあるバグを修正しました
実行中のコマンドを印刷するとき、podmanコンテナのrunlabelがPodmanコマンドのパスの代わりに/proc/self/exeを使用するバグを修正しました
ラベルによる画像のフィルタリングが機能しないバグを修正しました
イメージボリュームにbingマウントまたはtmpfsマウントを指定すると、コンテナが起動できないバグを修正しました
podmanがkubeを生成する際に、名前付きボリュームのあるコンテナで動作しないバグを修正しました
ルートのないPodmanがconmon.pidにアクセスする際にアクセス許可が拒否されたエラーを受け取るバグを修正しました
ターゲットとして指定されたフォルダーを伴うpodman cpが、フォルダーにコピーするのではなく、フォルダーを置き換えるバグを修正しました
rootlessのPodmanコマンドがロックを二重ロック解除し、クラッシュを引き起こす可能性があるバグを修正しました
Podmanが/dev/マウントでtmpcopyupを不適切に設定し、Kataコンテナランタイムを使用する際にエラーを発生させていたバグを修正しました
podman execが古いカーネルで失敗するバグを修正しました
podman commitコマンドが、Podmanリモートクライアントで使用可能になりました
--signature-policyフラグ(いくつかの画像関連コマンドで使用されます)は廃止されました
podman unshareコマンドは、生成されたシェルで2つの環境変数を定義するようになりました:ルートのないコンテナ用の一時および永続ストレージを指し示すCONTAINERS_RUNROOTおよびCONTAINERS_GRAPHROOT
ベンダー提供のコンテナ/ストレージおよびコンテナ/イメージライブラリを多数のバグ修正で更新しました
ベンダーのBuildahをv1.8.3に更新しました
現在、PodmanにはConmon v0.2.0が必要です
podman cpコマンドはpodman container cpとしてエイリアスされます
Rootless Podmanは、rootless構成でオーバーライドされない場合、root Podmanの構成ファイル(/etc/containers/libpod.confおよび/usr/share/containers/libpod.conf)を使用するデフォルトのinit_pathになりました
画像v1.5.1に更新してください
最新のコンテナ/ストレージのベンダー
docker/docker_client:冗長なDomain(ref.ref)呼び出しをドロップします
pkg/blobinfocache:実装をサブパッケージに分割します
copy:進捗バー:完了時にメッセージを表示します
docs:manpagesの名前を*.5.commandに変更します
container-certs.d.mdのmanページを追加します
pkg/docker/config:docker/docker_client_testから認証テストを導入します
sync.Mutexを個別に割り当てません
ストレージv1.12.10への更新:graphdriverからマウントオプションを解析する関数を追加します
Unixのようなロックファイルの全ての異なる部分をマージします
unix-but-not-Linuxのコンパイルを修正します
設定されている場合、XDG_RUNTIME_DIRをRootlessRuntimeDirとして返します
CVE-2018-15664修正に対するmoby/moby #39292を自由選択
lockfile:RecursiveLock() APIを追加します
生成されたファイルを更新します
aufsコードのtesingでのクラッシュを修正します
レイヤーとイメージが読み取り専用ストアからのものであったことを消費者に知らせる
chown:マウントポイントの所有者を変更しない
locks:更新をレイヤーリストに正しくマーク付けする
CreateContainer:必要でない限り、レイヤーのマッピングについて心配しない
docs:containers-storage.confのmanページを修正します
docs:構成オプションをアルファベット順にソートします
docs:OSTreeファイル重複排除を文書化します
コンテナストレージのmanページに不足しているオプションを追加します
オーバーレイ:存在する場合、レイヤーidmappingを使用します
vfs:レイヤーカスタムidmappingsが優先されます
レイヤー:idmapping設定を伝播します
見つからないときにシンボリックリンクを再作成します
docs:構成ファイルのmanページを修正します
docs:5節目のmanページに対して特別な処理を追加します
オーバーレイ:シングルロワーテストを修正します
見つからないときにシンボリックリンクを再作成します
オーバーレイ:mountProgramからエラーを伝播します
utils:usernsのrootがグローバル構成ファイルを使用します
追加のストアの処理を修正します
ルートのないディレクトリの権限を正しくチェックします
32ビットビルドでの整数オーバーフローの可能性を修正します
lvmのデバイスパスを評価します
lockfileテスト:同時RWテスト判定を作成します
lockfileテスト:同時読み取りテスト判定を作成します
drivers.DirCopy:ファイルモード検出を修正します
storage:rootlessを検出するロジックをutils.goに移動します
(struct flock).l_pidを設定します
getLockfileの文書化を改善します
getLockFileの名前をcreateLockerForPathに変更し、それを文書化します
FILESセクションをContainers-storage.5 manページに追加します
ダイジェストロックを追加します
drivers/copy:非cgoフォールバックを追加します
slirp4netnsは0.3.0に更新されました :CVE-2019-6778:tcp_emu()のヒープバッファオーバーフローを修正しました(bsc#1123156)
この更新には次のものが含まれます:ルートレスコンテナをサポートするためのfuse3およびfuse-overlayfs。
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Linux Enterprise Module for Containers 15-SP1:zypper in -t patch SUSE-SLE-Module-Containers-15-SP1-2019-2223=1
SUSE Linux Enterprise Module for Basesystem 15-SP1:zypper in -t patch SUSE-SLE-Module-Basesystem-15-SP1-2019-2223=1
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1096726
https://bugzilla.suse.com/show_bug.cgi?id=1123156
https://bugzilla.suse.com/show_bug.cgi?id=1123387
https://bugzilla.suse.com/show_bug.cgi?id=1135460
https://bugzilla.suse.com/show_bug.cgi?id=1136974
https://bugzilla.suse.com/show_bug.cgi?id=1137860
https://bugzilla.suse.com/show_bug.cgi?id=1143386
https://github.com/containers/libpo\
https://www.suse.com/security/cve/CVE-2018-15664/
https://www.suse.com/security/cve/CVE-2019-10152/
プラグインの詳細
深刻度: High
ID: 128302
ファイル名: suse_SU-2019-2223-1.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2019/8/28
更新日: 2024/4/30
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: Medium
基本値: 6.2
現状値: 4.9
ベクトル: CVSS2#AV:L/AC:H/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2018-15664
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 7
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2019-6778
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:fuse-overlayfs, p-cpe:/a:novell:suse_linux:fuse-overlayfs-debuginfo, p-cpe:/a:novell:suse_linux:fuse-overlayfs-debugsource, p-cpe:/a:novell:suse_linux:fuse3, p-cpe:/a:novell:suse_linux:fuse3-debuginfo, p-cpe:/a:novell:suse_linux:fuse3-debugsource, p-cpe:/a:novell:suse_linux:libfuse3, p-cpe:/a:novell:suse_linux:libfuse3-3-debuginfo, p-cpe:/a:novell:suse_linux:podman, p-cpe:/a:novell:suse_linux:slirp4netns, p-cpe:/a:novell:suse_linux:slirp4netns-debuginfo, p-cpe:/a:novell:suse_linux:slirp4netns-debugsource, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2019/8/27
脆弱性公開日: 2019/3/21