openSUSEセキュリティ更新プログラム:podman / slirp4netnsおよびlibcontainers-common(openSUSE-2019-2044)
high Nessus プラグイン ID 128458
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
これは、podmanからバージョン1.4.4へのバージョン更新です(bsc#1143386)。上部におけるSUSEによる追加の変更:
- fuse-overlayfsは、SLE上の(現在)満たされていない依存関係であるため、削除します(bsc#1143386)
- 適切なinfra_commandを使用するためにlibpod.confを更新します
- 改善されたバージョンの一時停止コンテナを使用するために、libpod.confを更新します
- 正式なkubicタイプの一時停止コンテナを使用するために、libpod.confを更新します
- 最新の機能セットと一致するようにlibpod.confを更新します:
detach_keys、lock_type、runtime_supports_json
- podman-remote varlinkクライアントを追加します
podmanのv1.4.4へのバージョン更新:
- 機能
- 現在、Podmanは、複数のOCIランタイムを使用するコンテナに対するサポートを大幅に改善しています。コンテナは、
--runtimeを使用する異なるランタイムコンテナで作成されたかどうかを記憶し、常にそのランタイムを使用します
- ボリュームマウントのキャッシュされたオプションと委任されたオプションが、Dockerの互換性で許可されます(#3340)
- podman diffコマンドが--latestフラグをサポートするようになりました
- バグ修正
- rootless構成がユーザーに存在しない場合、rootless Podmanがroot構成全体を使用しようとするバグを修正しました。これにより、新規インストールでrootless Podmanが破損されます。
- rootless Podmanの一時停止プロセスがSIGTERMをブロックし、システムの初期化がSIGKILLを送信するまでの正常なシステムシャットダウンとハングアップを防止するバグを修正しました
- rootなしでPodmanを少なくとも1回実行した後、sudo -EでrootとしてPodmanを実行するとバグが修正されました。
- --tmpfsフラグで追加されたtmpfsボリュームのオプションが無視されるバグを修正しました
- レイヤーのない画像がPodmanによって適切に表示および削除されない可能性があるバグを修正しました
- コンテナまたはポッドの作成に失敗したときにロックが適切に解放されないバグを修正しました
- 単一のファイルにpodman cpがターゲットにディレクトリを作成し、その中にファイルを置いてしまうバグを修正しました(#3384)
- podmanが--format 「{{.Mounts}}」を検査すると、コンテナのマウントの代わりに16進アドレスが印刷されるバグを修正しました
- rootless Podmanがコンテナの/etc/hostsファイルに自身のホスト名のエントリを追加しないバグを修正しました(#3405)
- podmanのps --syncがセグメンテーション違反するバグを修正しました(#3411)
- podmanがkubeを生成すると無効なポート構成が生成されるバグを修正しました(#3408)
- その他
- コンテナ/ストレージをv1.12.13に更新しました
- Podmanが、I/O負荷が重いシステムでより優れたパフォーマンスを発揮するようになりました
- podmanに対する--cgroup-managerフラグは、デフォルトがlibpod.confによりオーバーライドされた場合に、ヘルプで適切なデフォルト設定を表示するようになりました
- 下位互換性のために、
podman runの--log-driver=json-fileが、--log-driver= k8s-fileのエイリアスとしてサポートされるようになりました。これは廃止予定であり、json-fileは将来新しい実装に移動される予定です([#3363](https://github.com/containers/libpo\d/issues/3363))
- Podmanのデフォルトのlibpod.confファイルにより、crun OCIランタイムがインストールされている場合に、これを使用できるようになりました
podmanをv1.4.2に更新してください:
- Podmanが古いバージョンのSystemdをinitとして使用してコンテナを実行できない可能性があるバグを修正しました
- ベンダーのBuildahをv1.9.0に更新し、DockerfileのRUN命令に関する重大なバグを解決しました
- 実行していないコンテナでpodman killを実行する場合のエラーメッセージが改善されました
- syslogが利用できない場合に、Podmanリモートクライアントがファイルにログを記録できるようになりました
- podman execコマンドが、コンテナが存在しないかどうか、およびコンテナ内のコマンドが存在しないかどうかに基づいて、エラーコードを異なるように設定するようになりました
- コンテナのpodman inspectコマンドは、docker inspectのものと一致するMounts JSONを出力するようになりました。これには、ユーザー指定のボリュームのみが含まれ、bindマウントとnamedボリュームは区別されます
- podman inspectコマンドは、OCIConfigPathキーでコンテナのOCI仕様へのパスを報告するようになりました(コンテナが初期化または実行中の場合のみ含まれます)
- podman run --mountコマンドは、bindマウントに対してbind-nonrecursiveオプションをサポートするようになりました
- podmanプレイkubeが、詳細不明なログドライバーのためにコンテナの作成に失敗するバグを修正しました
- Podmanがmusl libcでビルドに失敗するバグを修正しました
- ローカルホスト以外のホストにネームサーバーがない環境でslirp4netnsネットワーキングを使用しているrootのないPodmanがネットワーキングを機能させないバグを修正しました
- podmanのインポートが環境変数を適切に設定せず、それらの値を破棄し、キーのみを保持するバグを修正しました
- Apparmorサポートで構築された場合に、Podmanの実行が失敗するが、Apparmorカーネルモジュールがロードされていないシステムでは実行されるバグを修正しました
- Remote Podmanは現在、リモートシステムへのログインに使用するユーザー名を現在のユーザーのユーザー名にデフォルト設定します
- Podmanは現在、JSONロギングとそれをサポートするOCIランタイムで使用し、より優れたエラーレポートを提供します
- ベンダー提供のコンテナ/イメージをv2.0に更新しました
- conmonをv0.3.0に更新してください
- cgroup V2でのOOMモニターをサポート
- 構成バイナリを追加し、conmonを構成するためのターゲットを、値をインポートするためのgoライブラリで作成します
podmanをバージョン1.4.0(bsc#1137860)および(bsc#1135460)に更新しました
- Podmanチェックポイントおよびpodman復元コマンドを使用して、異なるシステムのPodmanインストール間でコンテナを移行できるようになりました。
- podman cpが一時停止フラグをサポートするようになりました。
- リモートクライアントは、リモートのPodmanインストールへの接続を事前に構成するための構成ファイルをサポートするようになりました
- CVE-2019-10152:バージョン1.1.0で導入した、podman cpコマンドのシンボリックリンクの不適切な逆参照を修正しました(bsc#1136974)。
- podmanコミットが、=文字を含む環境変数を不適切に設定する可能性があるバグを修正しました
- ルートのないPodmanが転送されたポートでコンテナを起動できないことがあるバグを修正しました
- リモートクライアントのpodmanバージョンがセグメンテーション違反を引き起こす可能性のあるバグを修正しました
- 実行中のコマンドを印刷するとき、podmanコンテナのrunlabelがPodmanコマンドのパスの代わりに/proc/self/exeを使用するバグを修正しました
- ラベルによる画像のフィルタリングが機能しないバグを修正しました
- イメージボリュームにbingマウントまたはtmpfsマウントを指定すると、コンテナが起動できないバグを修正しました
- podmanがkubeを生成する際に、名前付きボリュームのあるコンテナで動作しないバグを修正しました
- ルートのないpodmanがconmon.pidにアクセスする際にアクセス許可が拒否されたエラーを受け取るバグを修正しました
- ターゲットとして指定されたフォルダーを伴うpodman cpが、フォルダーにコピーするのではなく、フォルダーを置き換えるバグを修正しました
- ルートのないPodmanコマンドがロックを二重ロック解除し、クラッシュを引き起こす可能性があるバグを修正しました
- Podmanが/dev/マウントでtmpcopyupを不適切に設定し、Kataコンテナランタイムを使用する際にエラーを発生させていたバグを修正しました
- podman execが古いカーネルで失敗するバグを修正しました
- Podman commitコマンドが、Podmanリモートクライアントで使用可能になりました
- 署名ポリシーフラグが廃止されました
- ベンダー提供のコンテナ/ストレージおよびコンテナ/イメージライブラリを多数のバグ修正で更新しました
- ベンダー提供のBuildahをv1.8.3に更新しました
- 現在、PodmanにはConmon v0.2.0が必要です
- podman cpコマンドはpodman container cpとしてエイリアスされます
- Rootless podmanは、rootless構成でオーバーライドされない場合、root Podmanの構成ファイル(/etc/containers/libpod.confおよび/usr/share/containers/libpod.conf)を使用するデフォルトのinit_pathになりました
- ルートのないイメージ操作をベースとするオーバーレイをサポートするためにfuse-overlayfsの依存関係を追加しました
- podman cpコマンドが、引数の代わりに-を使用して、STDINにリダイレクトされた入力を読み取り、ファイルの代わりにSTDOUTに出力できるようになりました。
- podmanリモートクライアントは、クライアントとサーバーの両方からのバージョン情報をpodmanバージョンで表示するようになりました
- podman unshareコマンドが追加され、rootless Podmanによって設定されたユーザーの名前空間に簡単に入力できるようになりました(他のものの中で、rootless podmanによって作成されたファイルの削除を可能にします)。
- --rmフラグのあるPodmanコンテナが、自動的に削除された場合に、作成されたボリュームを削除していたバグを修正しました
- システムの再起動後にコンテナとポッドのロックが誤ってリリース済みとマークされ、コンテナとポッドの削除でエラーが発生するバグを修正しました
- ポッドのコンテナのいずれかが削除中にエラーに遭遇した場合に、Podmanポッドを削除できないバグを修正しました
- cgroupfs CGroupドライバーで実行されるPodmanポッドが削除中に競合状態に遭遇し、ポッドCGroupの削除に失敗する可能性があるバグを修正しました
- podmanコンテナチェックポイントおよびpodmanコンテナ復元コマンドがリモートクライアントに表示されないバグを修正しました
- podmanリモートps --nsがコンテナの名前空間を印刷しないバグを修正しました
- ヘルスチェックで停止したコンテナを削除するとエラーが発生する可能性があるバグを修正しました
- デフォルトのlibpod.confファイルが解析エラーを引き起こしていたバグを修正しました
- ポッドが削除されるときにポッドロックが解放されず、ロックの消耗につながる可能性があるバグを修正しました
- SD_NOTIFYが設定された「podman run」が、短時間実行されるコンテナ上で一貫性のない状態を作成し、コンテナを使用不可能にする可能性があるバグを修正しました
- リモートのPodmanクライアントは、Varlinkブリッジを使用して、デフォルトでリモート接続を確立するようになりました
- apparmor_parserの問題を修正しました(bsc#1123387)
- libpod v1.4.0への更新(bsc#1137860):
- podmanチェックポイントおよびpodman復元コマンドを使用して、異なるシステムのPodmanインストール間でコンテナを移行できるようになりました。
- podman cpコマンドが、コンテナにコピーする際にコンテナを一時停止する一時停止フラグをサポートするようになりました
- リモートクライアントは、リモートのPodmanインストールへの接続を事前に構成するための構成ファイルをサポートするようになりました
- 修正済みCVE-2019-10152 - podman cpコマンドが、ホストコンテキストのシンボリックリンクを不適切に逆参照していました
- podmanコミットが、=文字を含む環境変数を不適切に設定する可能性があるバグを修正しました
- ルートのないPodmanが転送されたポートでコンテナを起動できないことがあるバグを修正しました
- リモートクライアントのpodmanバージョンがセグメンテーション違反を引き起こす可能性のあるバグを修正しました
- 実行中のコマンドを印刷するとき、podmanコンテナのrunlabelがPodmanコマンドのパスの代わりに/proc/self/exeを使用するバグを修正しました
- ラベルによる画像のフィルタリングが機能しないバグを修正しました
- イメージボリュームにbingマウントまたはtmpfsマウントを指定すると、コンテナが起動できないバグを修正しました
- podmanがkubeを生成する際に、名前付きボリュームのあるコンテナで動作しないバグを修正しました
- ルートのないpodmanがconmon.pidにアクセスする際にアクセス許可が拒否されたエラーを受け取るバグを修正しました
- ターゲットとして指定されたフォルダーを伴うpodman cpが、フォルダーにコピーするのではなく、フォルダーを置き換えるバグを修正しました
- ルートのないPodmanコマンドがロックを二重ロック解除し、クラッシュを引き起こす可能性があるバグを修正しました
- Podmanが/dev/マウントでtmpcopyupを不適切に設定し、Kataコンテナランタイムを使用する際にエラーを発生させていたバグを修正しました
- podman execが古いカーネルで失敗するバグを修正しました
- podman commitコマンドが、Podmanリモートクライアントで使用可能になりました
- --signature-policyフラグ(いくつかの画像関連コマンドで使用されます)は廃止されました
- podman unshareコマンドは、生成されたシェルで2つの環境変数を定義するようになりました:ルートのないコンテナ用の一時および永続ストレージを指し示すCONTAINERS_RUNROOTおよびCONTAINERS_GRAPHROOT
- ベンダー提供のコンテナ/ストレージおよびコンテナ/イメージライブラリを多数のバグ修正で更新しました
- ベンダー提供のBuildahをv1.8.3に更新しました
- 現在、PodmanにはConmon v0.2.0が必要です
- podman cpコマンドはpodman container cpとしてエイリアスされます
- Rootless podmanは、rootless構成でオーバーライドされない場合、root Podmanの構成ファイル(/etc/containers/libpod.confおよび/usr/share/containers/libpod.conf)を使用するデフォルトのinit_pathになりました
- 画像v1.5.1に更新してください
- 最新のコンテナ/ストレージのベンダー
- docker/docker_client:冗長なDomain(ref.ref)呼び出しをドロップします
- pkg/blobinfocache:実装をサブパッケージに分割します
- copy:進捗バー:完了時にメッセージを表示します
- docs:manpagesの名前を*.5.commandに変更します
- container-certs.d.mdのmanページを追加します
- pkg/docker/config:docker/docker_client_testから認証テストを導入します
- sync.Mutexを個別に割り当てません
- ストレージv1.12.10への更新:
- graphdriverからマウントオプションを解析する関数を追加します
- Unixのようなロックファイルの全ての異なる部分をマージします
- unix-but-not-Linuxのコンパイルを修正します
- 設定されている場合、XDG_RUNTIME_DIRをRootlessRuntimeDirとして返します
- CVE-2018-15664修正に対するmoby/moby #39292を自由選択
- lockfile:RecursiveLock() APIを追加します
- 生成されたファイルを更新します
- aufsコードのtesingでのクラッシュを修正します
- レイヤーとイメージが読み取り専用ストアからのものであったことを消費者に知らせる
- chown:マウントポイントの所有者を変更しない
- locks: 更新をレイヤーリストに正しくマーク付けする
- CreateContainer:必要でない限り、レイヤーのマッピングについて心配しない
- docs:containers-storage.confのmanページを修正します
- docs:構成オプションをアルファベット順にソートします
- docs:OSTreeファイル重複排除を文書化します
- コンテナストレージのmanページに不足しているオプションを追加します
- オーバーレイ:存在する場合、レイヤーidmappingを使用します
- vfs:レイヤーカスタムidmappingsが優先されます
- レイヤー:idmapping設定を伝播します
- 見つからないときにシンボリックリンクを再作成します
- docs:構成ファイルのmanページを修正します
- docs:5節目のmanページに対して特別な処理を追加します
- オーバーレイ:シングルロワーテストを修正します
- 見つからないときにシンボリックリンクを再作成します
- オーバーレイ:mountProgramからエラーを伝播します
- utils:usernsのrootがグローバル構成ファイルを使用します
- 追加のストアの処理を修正します
- ルートのないディレクトリの権限を正しくチェックします
- 32ビットビルドでの整数オーバーフローの可能性を修正します
- lvmのデバイスパスを評価します
- lockfileテスト:同時RWテスト判定を作成します
- lockfileテスト:同時読み取りテスト判定を作成します
- drivers.DirCopy:ファイルモード検出を修正します
- storage:rootlessを検出するロジックをutils.goに移動します
- (struct flock).l_pidを設定しません
- getLockfileの文書化を改善します
- getLockFileの名前をcreateLockerForPathに変更し、それを文書化します
- FILESセクションをContainers-storage.5 manページに追加します
- ダイジェストロックを追加します
- drivers/copy:非cgoフォールバックを追加します
slirp4netnsは0.3.0に更新されました :
- CVE-2019-6778:tcp_emu()のヒープバッファオーバーフローを修正しました(bsc#1123156)
この更新には次のものが含まれます:
- ルートレスコンテナをサポートするためのfuse3およびfuse-overlayfs。
この更新はSUSEからインポートされました:SLE-15-SP1:更新プロジェクトを更新します。
ソリューション
影響を受けるpodman/slirp4netnsおよびlibcontainers-commonパッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1096726
https://bugzilla.opensuse.org/show_bug.cgi?id=1123156
https://bugzilla.opensuse.org/show_bug.cgi?id=1123387
https://bugzilla.opensuse.org/show_bug.cgi?id=1135460
https://bugzilla.opensuse.org/show_bug.cgi?id=1136974
https://bugzilla.opensuse.org/show_bug.cgi?id=1137860
https://bugzilla.opensuse.org/show_bug.cgi?id=1143386
プラグインの詳細
深刻度: High
ID: 128458
ファイル名: openSUSE-2019-2044.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2019/9/3
更新日: 2022/5/23
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: Medium
基本値: 6.2
現状値: 4.6
ベクトル: CVSS2#AV:L/AC:H/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2018-15664
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:fuse-overlayfs, p-cpe:/a:novell:opensuse:fuse-overlayfs-debuginfo, p-cpe:/a:novell:opensuse:fuse-overlayfs-debugsource, p-cpe:/a:novell:opensuse:fuse3, p-cpe:/a:novell:opensuse:fuse3-debuginfo, p-cpe:/a:novell:opensuse:fuse3-debugsource, p-cpe:/a:novell:opensuse:fuse3-devel, p-cpe:/a:novell:opensuse:libcontainers-common, p-cpe:/a:novell:opensuse:libfuse3-3, p-cpe:/a:novell:opensuse:libfuse3-3-debuginfo, p-cpe:/a:novell:opensuse:podman, p-cpe:/a:novell:opensuse:podman-cni-config, p-cpe:/a:novell:opensuse:slirp4netns, p-cpe:/a:novell:opensuse:slirp4netns-debuginfo, p-cpe:/a:novell:opensuse:slirp4netns-debugsource, cpe:/o:novell:opensuse:15.1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2019/9/1
脆弱性公開日: 2019/3/21