検出

SUSE SLES15セキュリティ更新プログラム:cni、cni-plugins、conmon、fuse-overlayfs、podman(SUSE-SU-2020:0697-1)

medium Nessus プラグイン ID 134653

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

このcni、cni-plugins、conmon、fuse-overlayfs、podmanの更新では、次の問題を修正します:

podmanが1.8.0に更新しました :

CVE-2019-18466:glob演算子を含むコンテナでシンボリックリンクをコピーする際に、podman cpがホスト上でファイルを不適切にコピーするバグを修正しました(#3829 bsc#1155217)

デフォルト構成内のcni-bridgeの名前が、'cni0'からpodman-1.6.0を含む'podman-cni0'に変更されました。%triggerを追加して、システム内のブリッジの名前を新しいデフォルト(存在する場合)に変更します。トリガーは、podman-cni-configを1.6.0より古いものから更新した場合にのみ実行されます。これは、主に、1.4.4から1.8.0に更新中のSLEに必要です(bsc#1160460)。

podmanのv1.8.0への更新(bsc#1160460):機能

 - podmanシステムサービスコマンドが追加され、Podmanの新しいDocker互換APIのプレビューが提供されます。このAPIは非常に新しく、実稼働環境で使用する準備ができていませんが、早期のテストで使用できます

 - Rootless Podmanでは、ポート転送にRootlesskitが使用されるようになりました。これにより、パフォーマンスと機能が大幅に向上するはずです

 - podman untagコマンドが追加され、画像を削除せずに画像からタグが削除されます

 - 画像に対するpodman inspectコマンドでは、過去に使用された名前が表示されるようになりました

 - podman generate systemdコマンドでは、既存のコンテナを管理する代わりに、新しいコンテナを作成して実行するサービスファイルを生成するための--newオプションがサポートされるようになりました

 - journaldログドライバーに、ロギングタグを設定するための --log-opt tag=のサポートが追加されました

 - 新しい
 --seccomp-policy CLIフラグを介してpodman runとpodman create用の画像に埋め込まれたSeccompプロファイルの使用のサポートを追加しました

 - podman play kubeコマンドでは、pullポリシーが優先されるようになりました バグ修正

 - /.で終わるパスが指定された場合に、podman cpコマンドでディレクトリの内容がコピーされないバグを修正しました

 - podman play kubeコマンドで、ローカルホストに対して指定されたSeccompプロファイルが正しく特定されないバグを修正しました

 - remote Podman用のpodman infoコマンドでレジストリ情報が表示されないバグを修正しました

 - podman execコマンドで入力がパイプされないバグを修正しました

 - CGroups v2システム上のrootless Podmanを使用したpodman cpコマンドで、コピー中にコンテナが一時停止できるかどうかが正しく判断されないバグを修正しました

 - podman container prune --forceコマンドで、コマンドの実行中にコンテナが起動された場合に、実行中のコンテナが削除される可能性のあるバグを修正しました

 - rootとして実行されたPodmanがリクエストされた際にslirp4netnsネットワーキングを正しく構成しないバグを修正しました

 - ユーザーが65535を超えるUIDを持っている場合にpodman run --userns=keep-idが機能しないバグを修正しました

 -

--userns=keep-idオプションを使用したrootless podman runとpodman createで、/run/user/$UID上の権限が変更され 、KDEが破損されるバグを修正しました

 - rootless Podmanが、CGroups v2を使用したシステム上のsystemdサービスで実行できないバグを修正しました

 - 明示的に設定されていない場合に、podman inspectで、CPUSharesがデフォルト(1024)ではなく0として表示されるバグを修正しました

 - podman-remote pushがセグメンテーション違反になるバグを修正しました

 - podman inspectの出力に画像ヘルスチェックが表示されないバグを修正しました

 - Podmanの1.6.3より前のリリースのコンテナで作成された名前付きボリュームは、名前が付けられていても、

 --rmフラグが指定されていれば、そのコンテナで自動的に削除されるバグを修正しました

 - podman historyで画像サイズが正しく計算されないバグを修正しました

 - podman imagesに対する

 --sortフラグの値が無効でもPodmanがエラーにならないバグを修正しました

 - podman commitによって作成された画像の名前の指定が本来あるべきオプションではなく必須になっていたバグを修正しました

 - remote Podmanクライアントが%PATHに余分な「'」を付加するバグを修正しました

 - podman buildコマンドで時々

 -fオプションが無視され、間違ったContainerfileがビルドされるバグを修正しました

 - podman ps --filterコマンドで、

 --allが渡されなかった場合に、すべてのコンテナではなく、実行中のコンテナのみがフィルタリングされるバグを修正しました

 - 圧縮画像に対するpodman loadコマンドで、ディスク上に余分なコピーが残るバグを修正しました

 - podman restartコマンドで、ネットワークが正しくクリーンアップされず、podman stopやpodman startとは異なる機能を引き起こすバグを修正しました

 - podman createとpodman runに対する--memory-swapフラグを-1(無制限を示す)に設定すると、サポートされないバグを修正しました その他

 - Podman remote APIのバージョン2に対する初期作業は、マージされていますが、まだアルファ状態で使用する準備ができていません。詳細はこちら

 - manページに対して多数の形式修正が行われました

 - アドレスの変更(#5009 )により、Podmanのバージョン1.6.3〜1.7.0によって作成された匿名ボリュームがコンテナの削除時に削除されない可能性があります。

 - ベンダー提供のBuildahをv1.13.1に更新しました

 - ベンダー提供のコンテナ/ストレージをv1.15.8に更新しました

 - ベンダー提供のコンテナ/イメージをv5.2.0に更新しました。`tunables/global`を利用可能にするために必要なランタイム依存関係としてapparmor-abstractionsを追加します。

'container prune'コマンド用の--forceフラグを修正しました。
(https://github.com/containers/libpod/issues/4844)

podmanのv1.7.0への更新 機能

 - コンテナの静的MACアドレスを設定するためのサポートを追加しました

 - podman network createでmacvlanネットワークを作成するためのサポートを追加しました。これにより、Podmanコンテナを、ホストが接続されているネットワークに直接アタッチできます

 - podman image pruneコマンドとpodman container pruneコマンドで、除去するものをフィルタリングするための--filterフラグがサポートされ、--forceを使用せずに実行された場合に確認が求められるようになりました(#4410と#4411)

 - Podmanが、CGroups v2を使用したシステム上で、デフォルトでCGroup名前空間を作成するようになりました(#4363)

 - すべてのPodmanファイルを削除し、Podmanインストールのファクトリーリセットを実行するためのpodman system resetコマンドを追加しました

 - 画像に使用されていた名前を表示するための、podman imagesに対する--historyフラグを追加しました(#4566)

 - リクエストされたコンテナが存在しない場合にエラーにならないための、podman rmとpodman stopに対する--ignoreフラグを追加しました

 - ファイルから削除または停止するコンテナのIDを読み取るための、podman rmとpodman stopに対する--cidfileフラグを追加しました

 - podman play kubeコマンドでSeccomp注釈が優先されるようになりました(#3111)

 - podman play kubeコマンドでRunAsUser、RunAsGroup、およびselinuxOptionsが優先されるようになりました

 - podman versionコマンドの出力形式が変更され、

 --formatフラグの使用時にdockerバージョンとより良く一致するようになりました

 - Rootless Podmanは、コンテナ/ストレージを2回初期化しなくなります。これにより、画像のプル中にPodmanコマンドの実行が妨げられるデッドロックの可能性が排除されます(#4591)

 - podman createとpodman runに対する--tmpfsフラグと

 --mount type=tmpfsフラグに、ディレクトリの内容がそれらの上にマウントされたtmpfsファイルシステムにコピーされるかどうかを制御するためのtmpcopyupオプションとnotmpcopyupオプションを追加しました

 - --detach-keys=''を介して空のデタッチキーを設定することで、コンテナからのデタッチを無効にするためのサポートを追加しました

 - podman buildコマンドで、ビルド中に画像がプルされるタイミングを制御するための--pullフラグと

 --pull-neverフラグがサポートされるようになりました

 - podman ps -pコマンドで、IDとともにポッドの名前も表示されるようになりました(#4703)

 - コンテナに対するpodman inspectコマンドで、コンテナを作成するために使用されるコマンドが表示されるようになりました

 - podman infoコマンドで、レジストリミラーに関する情報が表示されるようになりました(#4553)バグ修正

 - Podmanが間違ったruntimeディレクトリをrootとして使用するバグを修正しました。このバグでは、rootがログアウトした後に状態が削除され、systemdサービス内のPodmanが正しく機能しなくなります

 - podman importとpodman commitに対する--changeフラグが多くのケースで正しく解析されないバグを修正しました

 - libpod.confで指定されたデタッチキーが、常にグローバルデフォルトのctrl-pキーとctrl-qキーの組み合わせを使用するpodman attachコマンドとpodman execコマンドによって使用されないバグを修正しました(#4556)

 - rootless Podmanが、CGroups v2を有効にしたシステム上でさえpodman pod statを実行できないバグを修正しました(#4634)

 - rootless Podmanが、renameat2 syscallのないカーネル上で失敗するバグを修正しました(#4570)

 - ネットワーク名前空間の依存関係が連鎖しているコンテナ(IE、--net container=Bを使用するコンテナA、および--net container=Cを使用するコンテナB)が、/etc/hostsと/etc/resolv.confをコンテナに正しくマウントしないバグを修正しました。 (#4626)

 - --rmフラグを使用し、-dを使用しないpodman runが、

 バックグラウンドで実行されると、終了後にコンテナを削除しようとしたときに「コンテナが存在しません」というエラーをスローする可能性のあるバグを修正しました

 - リブート後に名前付きボリュームのロックが正しく再取得されず、ボリュームを使用してコンテナを起動しようとするとデッドロックが発生する可能性のあるバグを修正しました(#4605と#4621)

 - 削除中にSIGKILLを送信すると、Podmanがコンテナを完全に削除できず、削除を完了するためのpodman rm --storageコマンドがないとコンテナ名を使用できないバグを修正しました(#3906)

 -
--rmを使用して開始されたコンテナのチェックポイントが、--exportが指定されていない場合に許可される(チェックポイントが--rmによって完了された後にコンテナとチェックポイントが除去される)バグを修正しました(#3774)

 - コンテナがポッド内に存在し、
 --forceフラグが渡されなかった場合に、podman pod pruneコマンドが失敗するバグを修正しました(#4346)

 - コンテナが非デフォルトのCNIネットワークに参加している場合に、静的IPまたは静的MACアドレスを設定できないバグを修正しました(#4500)

 - 実行時にコンテナがマウントされた場合は、podmanシステムの番号の付け直しで常にエラーがスローされるバグを修正しました

 - podmanコンテナの復元がユーザー名前空間を使用するコンテナで失敗するバグを修正しました

 - systemdがインストールされていないシステム上でも、rootless Podmanがjournaldイベントバックエンドを使用しようとするバグを修正しました

 - podman historyが時々画像内のレイヤーのIDを正しく識別しないバグを修正しました(#3359)

 - Conmon v2.0.3以降が使用されている場合にコンテナが再起動できないバグを修正しました

 - コンテナの起動時に、Podmanがホストに対してイメージOSとアーキテクチャをチェックしないバグを修正しました

 - ポッド内のコンテナがKata OCIランタイムで正しく機能しないバグを修正しました(#4353)

 - `podman info --format '{{ json . }}'でJSON出力が生成されないバグを修正しました(#4391)

 -

--authfileに渡されたファイルが存在するかどうかをPodmanが検証しないバグを修正しました(#4328)

 - podman images --digestが利用可能なダイジェストを必ずしも出力しないバグを修正しました

 - rootless podman runが読み取りイベントや書き込みイベントとの競合が原因でハングアップするバグを修正しました

 - rootless Podmanが警告レベルのログを出力するように指示されていなくても出力するバグを修正しました(#4456)

 - docker-daemonトランスポートを使用して資格のない画像をプルする際に、podman pullがリモートレジストリからのフェッチを試みるバグを修正しました(#4434)

 - STDINがパイプの場合に、podman cpが機能しないバグを修正しました

 - 実行しているコマンドと開始しているexecセッション間に何かが入力された場合に、podman execが入力の受け入れを停止するバグを修正しました(#4397)

 - podman logs --tail 0がコンテナのログのすべての行を出力するバグを修正しました(#4396)

 - slirp4netnsのタイムアウトが正しく設定されていないために、非常に長いタイムアウトになるバグを修正しました(#4344)

 - podman statsコマンドがCPU使用率の数字を間違って出力するバグを修正しました(#4409)

 - サイズが0の場合に、podman inspect --sizeコマンドがコンテナの読み取り/書き込みレイヤーのサイズを出力しないバグを修正しました(#4744)

 - podman killコマンドが使用前に信号を正しく検証しないバグを修正しました(#4746)

 - podman psに対する--quietフラグと--formatフラグを同時に使用できないバグを修正しました

 - コンテナがPID名前空間を使用せずに作成された場合に、podman stopコマンドがexecセッションを停止しないバグを修正しました(--pid=host)

 - podman pod rm --forceコマンドが、削除されたコンテナの匿名ボリュームを削除しないバグを修正しました

 - podman checkpointコマンドが、同じコンテナで複数回実行された場合に、コンテナのrootファイルシステムにすべての変更をエクスポートしないバグを修正しました(#4606)

 - --rmを使用して開始されたコンテナが、execセッションがコンテナ内で実行されている場合に、停止時に自動的に削除されないバグを修正しました(#4666)その他

 - rootとしてのランタイムディレクトリパスの修正により、コンテナの実行中にアップグレードが実行されると、予期せぬ動作が引き起こされる可能性があります

 - ベンダー提供のBuildahをv1.12.0に更新しました

 - ベンダー提供のコンテナ/ストレージライブラリをv1.15.4に更新しました

 - ベンダー提供のコンテナ/イメージライブラリをv5.1.0に更新しました

 - Kata Containersランタイム(kata-runtime、kata-qemu、およびata-fc)が、デフォルトのlibpod.conf内に存在するようになりましたが、Kata Containersがシステムにインストールされていない限り利用できません

 - Podmanは、以前、メモリ制限が4MB未満のコンテナの作成を許可しませんでした。crunランタイムは大幅に少ないメモリでもコンテナを作成できるため、この制限は削除されました

podmanをv1.6.4に更新します。Conmon 2.03 以降で使用できるように、コンテナの再起動時にwinsz FIFOを削除します

システムの再起動時にボリュームがロックを再取得するようにして、コンテナ起動時のデッドロックを阻止します

rootless Podmanの実行中の偽のログメッセージを抑制します

ベンダー提供のコンテナ/ストレージをv1.13.6に更新します

イベントの書き込みに関連するデッドロックを修正します

journaldイベントロガーが利用できない場合は、それを使用しません

podmanのv1.6.2への更新 機能

 - --runtimeフラグをpodman system migrateに追加して、OCIランタイムですべてのコンテナをリセットできるようにし、runcが完全にサポートされるまでCGroups V2システム上のcrunランタイムへの移行を容易にしました

 - podman rmコマンドで、以前は削除できなかった破損状態のコンテナを削除できるようになりました

 - podman infoコマンドで、rootを使用せずに実行された場合に、ルートレスユーザー名前空間内のUIDとGIDのマッピングに関する情報が表示されるようになりました

 - podman build --squash-allフラグを追加しました。これは、すべてのレイヤー(ベース画像のレイヤーを含む)を1つのレイヤーに縮小します

 - podman runとpodman createに対する--systemdフラグが、文字列引数を受け入れ、コンテナエントリポイントがsystemdであるかどうかをチェックせずにsystemdサポートを強制する新しい値のalwaysを許可するようになりました バグ修正

 - podman topコマンドがCGroups V2を使用しているシステム上で機能しないバグを修正しました(#4192)

 - rootless Podmanがファイルを二重に閉じ、パニックを引き起こすバグを修正しました

 - rootless Podmanが状態の更新中に一部のコンテナの取得に失敗するバグを修正しました

 - podman start --attach
 --sig-proxy=falseが依然としてコンテナに信号をプロキシするバグを修正しました

 - Podmanが認証証明書(auth.json)に非デフォルトパスを無条件に使用して、コンテナ/イメージライブラリを使用するskopeoやその他のツールとのpodman login統合を破壊するバグを修正しました

 - podman ps --format=jsonとpodman images

 --format=jsonが、結果が返されない場合に、有効なJSONの代わりにnullを表示するバグを修正しました

 - podman build --squashが、間違って、新しいレイヤーだけでなく、すべてのレイヤーを1つのレイヤーに縮小するバグを修正しました

 - rootless Podmanが、オプションを使用したボリュームのマウントを許可(ボリュームのマウントにはrootが必要)し、ボリュームがマウントされていないのにマウント済みとして報告される一貫性のない状態を作り出すバグを修正しました(#4248)

 - マウント解除に失敗したボリュームを削除できないバグを修正しました(#4247)

 - コンテナ/ストレージ内でマウント解除されたまたは欠落しているコンテナに関連する一部のエラーをPodmanが不正に処理するバグを修正しました

 - ルートレスで実行した場合に、CGroups V2を実行しているシステムでpodmanの統計が破損するバグを修正しました(#4268)

 - podman startコマンドで、完全なIDではなく、短いコンテナIDが出力されるバグを修正しました

 - もはや利用できない(構成ファイルからアンインストールまたは削除された)OCIランタイムを使用して作成されたコンテナが、podman psで表示されず、podman rm経由で削除できないバグを修正しました

 - podman container restoreを介してコンテナが復元されるバグを修正しました

 --importは、コンテナIDが変更された場合でも、オリジナルのコンテナのCGroupパスを保持します。そのため、同じチェックポイントから作成された複数のコンテナはすべて、同じCGroupを共有します その他

 - コンテナのデフォルトPID制限が4096に設定されるようになりました。
 これは、podman createとpodman runに

 --pids-limit 0を渡すことによって、昔のデフォルト(無制限)に戻すことができます

 - podman start --attachコマンドが、コンテナが-iを使用して作成された場合に、自動的にSTDINをアタッチするようになりました。

 - podman network createコマンドが、コンテナ名やポッド名と同じ正規表現を使用してネットワーク名を検証するようになりました

 - podman runとpodman createに対する--systemdフラグが、コンテナ内で実行されているバイナリが/sbin/init、/usr/sbin/ initであるか、systemdで終わっている場合にだけsystemdモードを有効にするようになりました(以前はinitまたはsystemdで終わるパスを検出していました)

 - ベンダー提供のBuildahを1.11.3に更新しました

 - ベンダー提供のコンテナ/ストレージを1.13.5に更新しました

 - ベンダー提供のコンテナ/イメージを4.0.1に更新しました

podmanのv1.6.1への更新 機能

 - podman network create、podman network rm、podman network inspect、podman network lsの各コマンドが追加され、Podmanが使用するCNIネットワークを管理できるようになりました

 - podman volume createコマンドが、オプションでボリュームを作成してマウントできるようになりました。これにより、NFS、tmpfs、およびその他の多くのファイルシステムでバックアップされたボリュームを使用できます

 - Podmanが、podman createとpodman runで--cgroups=disabledフラグを使用することによってsystemdとの統合を強化するために、CGroupsなしでコンテナを実行できるようになりました。これは、現在、crun OCIランタイムでのみサポートされています

 - podman volume rmコマンドとpodman volume inspectコマンドで、フルネームに加えて、明白な部分名でもボリュームを参照できるようになりました(たとえば、myvolumeという名前のボリュームを削除するためのpodman volume rm myvol)(#3891)

 - podman runコマンドとpodman createコマンドで、

 画像の強制再プルを可能にする--pullフラグがサポートされるようになりました(#3734)

 - --volume、
 --mount、

 --tmpfsを使用してコンテナにボリュームをマウントする場合に、suid、dev、およびexecのマウントオプション(nosuid、nodev、およびnoexecの逆)が許可されるようになりました(#3819)

 - --mountを使用してコンテナにボリュームをマウントする場合に、マウントのラベルを変更するためのrelabel=Zオプションとrelabel=zオプションが許可されるようになりました。

 - podman pushコマンドで、プッシュされたダイジェストを含むファイルを保存するための--digestfileオプションがサポートされるようになりました

 - Podは、podman pod create

--hostnameを介してホスト名を設定したり、ホスト名が設定されたPod YAMLをpodman play kubeに提供したりできるようになりました(#3732)

 - podman image signコマンドで、コンテナファイル用のSELinuxラベルを設定するための
 --cert-dirフラグの使用時に

 -podman runコマンドとpodman createコマンドで、

 --security-opt label=filetype:$LABELフラグがサポートされるようになりました

 - remote Podmanクライアントが、ヘルスチェックをサポートするようになりました バグ修正

 - Varlink接続が利用できない場合に、remote podman pullでパニックが発生するバグを修正しました(#4013)

 - 新しいexecセッションの作成時にpodman execがターミナルサイズを正しく設定しないバグを修正しました(#3903)

 - podman execがホスト上のソケットシンボリックリンクをクリーンアップしないバグを修正しました(#3962)

 - Podmanが、CGroup名前空間を作成したコンテナでsystemdを実行できないバグを修正しました

 - podman prune -aがBuildahとCRI-Oによって使用される画像を除去しようとしてエラーが発生するバグを修正しました(#3983)

 - ~/.configディレクトリに対する不適切な権限により、rootless Podmanが一部のファイルを保存するために不正なディレクトリを使用するバグを修正しました

 - podman importのbash完了でエラーがスローされるバグを修正しました

 - podman volume createで作成されたPodmanボリュームが、初めてコンテナにマウントされたときにマウントポイントの内容をコピーしないバグを修正しました(#3945)

 - ユーザーが所有するCGroup内部でコンテナが実行されなかった場合に、rootless Podmanがpodman execを実行できないバグを修正しました(#3937)

 - securityContextなしでPod YAMLが指定された場合に、podman play kubeがパニックを引き起こすバグを修正しました(#3956)

 - storage.conf構成項目が空の文字列に設定された場合に、Podmanがファイルを正しく配置しないバグを修正しました(#3952)

 - podman buildがPodmanのCGroup構成を正しく継承しなかったために、CGroups V2システムがクラッシュするバグを修正しました(#3938)

 - コンテナが完全に削除される前にremote podman run --rmが終了することで、コンテナリソースの削除時に競合状態が発生するバグを修正しました(#3870)

 - コンテナの起動後に、rootless Podmanが/etc/subuidと/etc/subgidに対する変更を正しく処理しないバグを修正しました

 - rootless Podmanが--deviceフラグを使用してコンテナに一部のデバイスを含めることができないバグを修正しました(#3905)

 - 間違った引数が指定された場合に、commit Varlink APIがセグメンテーション違反になるバグを修正しました(#3897)

 - remote Podmanを使用したビルド後に、一時ファイルが正しくクリーンアップされないバグを修正しました(#3869)

 - podman remote cpがまだサポートされていないと報告する代わりにクラッシュするバグを修正しました(#3861)

 - コンテナへのexecがDockerfileユーザー(またはpodman run --userを介して指定されたユーザー)を含むイメージから開始されたときに、podman execが間違ったユーザーとして実行されるバグを修正しました(#3838)

 - oci:transportを使用してプルされた画像に不適切な名前が付けられるバグを修正しました

 - SD_NOTIFYサポートとVarlinkが競合することが原因で、systemdによって管理されている場合にpodman varlinkがハングアップするバグを修正しました(#3572)

 - 同じ宛先にマウントしたのに競合がトリガーされないことがあるが、実際には競合が発生しているバグを修正しました

 - podman exec --preserve-fdsでPodmanがハングアップするバグを修正しました(#4020)

 - マウント解除されたコンテナを削除したときにコンテナが正しくクリーンアップされないことがあるバグを修正しました(#4033)

 - systemdユニットファイルで実行されると、Varlinkサーバーがフリーズするバグを修正しました(#4005)

 - OCIランタイムで設定されなかった場合に、Podmanが$HOME環境変数を正しく設定しないバグを修正しました

 - OCIランタイムが見つからなかった場合に、rootless Podmanが誤って警告メッセージを出力するバグを修正しました(#4012)

 - 名前付きボリュームが、podman createとpodman runに対する
 --read-only-tmpfsフラグで追加されたtmpfsファイルシステムをオーバーライドするのではなく、それと競合するバグを修正しました

 - 存在しないディレクトリを指しているシンボリックリンクにコピーした場合に、podman cpで間違ってターゲットディレクトリが作成されるバグを修正しました(#3894)

 - remote Podmanが、

 -iフラグが設定されていない場合に、間違ってSTDINを読み取るバグを修正しました(#4095)

 - サポートされていないYAMLタイプが指定された場合に、podman play kubeで空のポッドが作成されるバグを修正しました(#4093)

 - podman import --change でCMDが不適切に解析されるバグを修正しました(#4000)

 - CGroups V2を使用しているシステム上でrootless Podmanがcgroupfs CGroupsマネージャーで機能しないバグを修正しました

 - rootless PodmanがDBusセッションアドレスを正しく識別できず、コンテナの開始に失敗するバグを修正しました(#4162)

 - slirp4netnsネットワーキングを使用したrootless Podmanがマウント漏洩が原因でコンテナの開始に失敗するバグを修正しました その他

 - このリリースでは、Podmanボリュームに重要な変更が加えられました。既存のボリュームがある場合は、アップグレード後にpodman system renumberを実行することを強くお勧めします。

 - Podmanにバージョン0.8.1以降のCNIプラグインが必要になりました

 - Conmonのバージョン2.0.1以降が強く推奨されています

 - ベンダー提供のBuildahをv1.11.2に更新しました

 - ベンダー提供のコンテナ/ストレージライブラリをv1.13.4に更新しました

 - podman play kubeを介して名前のないポッドを作成しようとしたときのエラーメッセージを改善しました

 - CGroups V2が有効になっていないシステム上のルートレスコンテナでpodman pauseまたはpodman statsを実行しようとしたときのエラーメッセージを改善しました

 - 大きなサイズの一時ファイルをより適切に処理するために、TMPDIRがデフォルトで/var/tmpに設定されるようになりました

 - 停止したコンテナをより素早く検出するために、podman waitが最適化されました

 - Podmanコンテナに、libpodによって作成されたことを示すContainerManager注釈が含まれるようになりました

 - podman infoコマンドに、slirp4netnsとfuse-overlayfsが利用可能な場合に、これらに関する情報が含まれるようにしました

 - Podmanは、tmpfsファイルシステム用の65kbのデフォルトサイズを設定しなくなりました

 - デフォルトのPodman CNIネットワークは、両方が同じシステム上で実行されている場合のCRI-Oとの競合を防ぐために、名前が変更されました。これは、システムの再起動時にのみ有効になります。

 - podman volume inspectの出力がdocker volume inspectにより一致するようになりました。katacontainersを推奨パッケージとして追加し、追加のOCIランタイムとして構成に含めます。

podmanのv1.5.1への更新 機能

 - ポッドのホスト名がポッドの名前に設定されました バグ修正

 - podman runとpodman createで

 --authfileオプションが優先されないバグを修正しました(#3730)

 - podman container restore

--importを使用して復元されたコンテナが、オリジナルのコンテナのConmon PIDファイルを正しく複製しないバグを修正しました

 - podman buildで、libpod.conf内で構成されたデフォルトのOCIランタイムが無視されるバグを修正しました

 - podman run --rm(またはpodman rm --forceを使用した実行中のコンテナの強制削除 )で正しい終了コードが取得されないバグを修正しました(#3795)

 - 構成済みのフックディレクトリが存在しない場合に、Podmanがエラーで終了するバグを修正しました

 - podman inspectとpodman commitで、podman play kubeを使用して実行されたコンテナに正しいCMDが使用されないバグを修正しました

 - rootless PodmanとCGroups V2の使用中にポッドが作成されるバグを修正しました(#3801)

 -
--sinceまたは--untilオプションが指定されたpodman eventsコマンドで、完了に非常に長い時間がかかるバグを修正しました その他

 - Rootless Podmanが、OCIランタイム構成をroot構成から継承するようになりました(#3781)

 - Podmanが、レジストリを参照しながらユーザーエージェントを正しく設定するようになりました(#3788)podmanコマンド用のzsh完了を追加します

podmanのv1.5.0への更新 機能

 - Podmanコンテナが、--userns=container:$IDと他のコンテナのユーザー名前空間または--userns=ns:と任意のパス上のユーザー名前空間を結合できるようになりました$PATH

 - Rootless Podmanは、実験的に、

 --storage-opt ignore_chown_errorsを渡すことによって、イメージ内のすべてのUIDとGIDを単一のUIDとGIDに縮小することができます(newuidmapとnewgidmapの実行可能ファイルを使用する必要がありません)

 - podman generate kubeコマンドで、コンテナが作成したバインドマウント用のYAMLが生成されるようになりました(#2303)

 - podman container restoreコマンドに、新しいフラグ

 --ignore-static-ipが追加されました。このフラグは、--importと共に使用することによって、静的IPを持つ単一のコンテナを同じホスト上で複数回インポートできます

 -

--format=jsonを指定することで、JSONを出力するpodmanイベントの能力を追加しました

 - OCIランタイムまたはconmonバイナリがlibpod.confで指定されたパスで見つからなかった場合に、Podmanが呼び出し元のユーザーのパスでもそれらを検索するようになりました

 - podman importをURLと一緒に使用する能力を追加しました(#3609)

 - podman psコマンドで、正規表現を使用した名前のフィルタリングがサポートされるようになりました(#3394)

 - --privilegedが設定されたRootless Podmanコンテナが、ユーザーがアクセス可能なすべてのホストデバイスにマウントされるようになりました

 - podman createコマンドとpodman runコマンドで、

 すべての環境変数をホストからコンテナに転送するための--env-hostフラグがサポートされるようになりました

 - Rootless Podmanがヘルスチェックをサポートするようになりました(#3523)

 - コンテナでのpodman inspectの出力のHostConfig部分の形式が改善され、Dockerと同期されました

 - Podmanコンテナが、CGroup名前空間をサポートするようになり、--cgroupns=privateをpodman runまたはpodman create

- podman createコマンドとpodman runコマンドで、

 --ulimit=hostフラグに渡すことで作成できるようになりました。このフラグでは、コンテナのホスト上で現在設定されている任意のulimitが使用されます

 - podman rmコマンドとpodman rmiコマンドで、異なる終了コードを使用して、「そのようなコンテナは存在しない」エラーと「コンテナは実行中」エラーが示されるようになりました

 - crun OCIランタイム経由のCGroups V2のサポートが大幅に改善され、CGroups V2階層が使用中の場合に、ルートレスコンテナのリソース制限を設定できるようになりました バグ修正

 - 競合状態が原因でpodmanの再起動が失敗し、ポート付きコンテナが開始しないバグを修正しました

 - チェックポイントから復元されたコンテナが、開始された時間を正しく報告しないバグを修正しました

 - 結果の最大数をより高く設定した場合でも、podman検索が最大で25の結果を返すバグを修正しました

 - podman play kubeで、インポートされたYAMLで設定された機能が優先されないバグを修正しました(#3689)

 - podman run --envで、単一のキーが渡された(ホストからの値を使用するため)場合に、ホスト上で設定されていなくても、コンテナ内の環境変数が設定されるバグを修正しました(#3648)

 - podman commit --changesで環境変数が正しく設定されないバグを修正しました

 - Podmanが履歴のない画像の処理中にセグメンテーション違反を引き起こすバグを修正しました

 - podman volume rmで、曖昧な名前が付けられたボリュームが削除されるバグを修正しました(#3635)

 - tmpfs内のファイルをクリーンアップしないことで、podman execの呼び出しでメモリが漏洩するバグを修正しました

 - podman runとpodman createに対する--dnsフラグと--net=containerフラグが相互に排他的でないバグを修正しました(#3553)

 - 利用可能なUIDが5個未満の場合に、rootless Podmanがコンテナを実行できないバグを修正しました

 - ポッド内のコンテナはポッド全体を削除しないと削除できないバグを修正しました(#3556)

 - cgroupfs CGroupドライバーの使用中に、Podmanが、作成されたcgroup用のすべてのCGroupコントローラーを正しくクリーンアップしないバグを修正しました

 - Podmanコンテナがtmpfs内のファイルを正しくクリーンアップしないために、コンテナが停止したときにメモリリークを引き起こすバグを修正しました

 - 画像からのヘルスチェックが、画像によって提供されない場合に、間隔、再試行、タイムアウト、および開始期間のデフォルト設定を使用しないバグを修正しました(#3525)

 - ヘルスチェックで、正しくサポートされていないHEALTHCHECK CMD形式が使用されるバグを修正しました(#3507)

 - 相対ソースパスを使用したボリュームマウントが正しく解決されないバグを修正しました(#3504)

 - カスタムパスが指定されたときにpodman runで承認認証情報が使用されないバグを修正しました(#3524)

 - podman container checkpointでチェックポイントされたコンテナが終了時間を正しく設定しないバグを修正しました

 - podman runまたはpodman createで作成されなかったコンテナ(ポッドインフラコンテナなど)でpodman inspectを実行すると、セグメンテーション違反が発生するバグを修正しました(#3500)

 - podman createとpodman run用のヘルスチェックフラグに正しい名前が付けられないバグを修正しました(#3455)

 - コンテナとポッド間で曖昧な部分IDが指定された場合に、Podmanコマンドでターゲットの検索に失敗するバグを修正しました(#3487)

 - 復元されたコンテナに正しいSELinuxラベルが付けられないバグを修正しました

 - moreが正しく指定されなかった場合に、Varlinkエンドポイントが正しく機能しないバグを修正しました

 - エラーが発生した場合にVarlink PullImageエンドポイントがクラッシュするバグを修正しました(#3715)

 - podman createとpodman runに対する--mountフラグが、roオプションとrwオプションに対してブール型の引数を許可しないバグを修正しました(#2980)

 - ポッドがUTS名前空間を正しく共有せず、ホスト名に依存する一部のユーティリティの不正な動作を引き起こすバグを修正しました(#3547)

 - podman commit中(およびpodman inspectでCMDを報告中)にPodmanがCMDにENTRYPOINTを無条件に付加するバグを修正しました#3708)

 - journaldイベントのバックエンドを伴うpodmanイベントで、新しいイベントだけがリクエストされたのに、6つ前のイベントが誤って出力されるバグを修正しました(#3616)

 - ポート番号が指定された場合にpodman portが早期終了するバグを修正しました(#3747)

 - podman createとpodman runに対する
 --dns-searchフラグへの引数として「.」を渡すと、コンテナ内のDNS検索ドメインが正しくクリアされないバグを修正しました その他

 - ベンダー提供のBuildahをv1.10.1に更新しました

 - ベンダー提供のコンテナ/イメージをv3.0.2に更新しました

 - ベンダー提供のコンテナ/ストレージをv1.13.1に更新しました

 - Podmanには、conmon v2.0.0以降が必要になりました

 - podman infoコマンドで、使用中のイベントロガーが表示されるようになりました

 - コンテナ上のpodman inspectコマンドに、コンテナが参加したポッドのIDと、コンテナのconmonプロセスのPIDが含まれるようになりました

 - podman --version用の-vショートフラグが再追加されました

 - podman pullからのエラーメッセージを大幅に明確にする必要があります

 - podman execコマンドがリモートクライアントで利用できるようになりました

 - 添付されたpodman-v1.5.0.tar.gzファイルはMacOS用にパッケージされたpodmanです。これは、Homebrewを使用してインストールできます。
 'runc'バイナリと'conmon'バイナリの最新のパス検出機能をサポートするようにlibpod.confを更新します。

conmonがバージョン2.0.10に含まれました。(bsc#1160460、 bsc#1164390、jsc#ECO-1048、jsc#SLE-11485、jsc#SLE-11331):

fuse-overlayfsがv0.7.6に更新しました (bsc#1160460)オリジンxattrが設定されていない場合は、inoの下位レイヤーが検索されません

fdに対する操作がENXIOで失敗した場合に、ファイルパスの使用を試みます

listxattrとgetxattrを通して内部xattrsを漏洩させないようにします

削除されたファイルのfallocateを修正します。

O_DIRECTを無視します。これにより、アライン済みのバッファを使用しないlibfuseに伴う問題が引き起こされ、write(2)がEINVALで失敗します。

copyup上で、opaque xattrをコピーしません。

ダブルリンク解除で発生する可能性のある、ホワイトアウトファイルの間違った検索を修正します。

direct_fsync()内のセグメンテーション違反の可能性を修正します

データストアを使用して欠落していたホワイトアウトを作成します

名前の変更後に、ディレクトリのリロードを強制します

inodesキャッシュを導入します

unixソケット用のinodeを正しく読み取ります

可能な場合はハッシュマップ検索を回避します

inoキーにst_devを使用します

書き戻しがサポートされているかどうかをチェックします

set_attrs:S_IFREGへの書き込みを必要としません

ioctl:ディレクトリにfi->fhを再利用しません

スキップホワイトアウト削除の最適化を修正します

chmod後に新しいモードを保存します

fuse書き戻しキャッシュをサポートし、デフォルトで有効にします

fsyncを無効にするオプションを追加します

xattrsを無効にするオプションを追加します

下位レイヤーのino番号チェックをスキップするオプションを追加します

fd有効性チェックを修正します

メモリリークを修正します

メモリ解放後読み取りを修正します

flistxattrの戻り値の型を修正します

lgtm.comから報告される警告を修正します

パラレルdiropsを有効にします

cniが0.7.1に更新しました :99-loopback.confに正しいCNIバージョンを設定します

バージョン0.7.1への更新(bsc#1160460):ライブラリの変更:

 + invoke:envを処理するためにCNIArgsのカスタムenvが先頭に付加されるようにします

 + GetNetworkListCachedResultをCNIインターフェイスに追加します

 + delegate:継承で委任関数がCNI_COMMAND envを自動的にオーバーライドできるようにします ドキュメンテーションと規約の変更:

 + 仕様v0.4.0用にcnitoolドキュメンテーションを更新します

 + cni-route-overrideをCNIプラグインリストに追加します

バージョン0.7.0への更新:仕様の変更:

 + 仕様でRFC2119スタイル言語をより多く使用します(must、should ...)

 + ADD/DEL順序に関する注記を追加します

 + コンテナIDを必須かつ一意にします。

 + ADDコマンドとDELコマンドからバージョンパラメーターを削除します。

 + ネットワークインターフェイス名の問題

 + オプションと必須の構造体メンバーについて明確にします

 + CHECKメソッドを追加します

 +「再試行」に関するよく知られているエラーを追加します

 + SPEC.md:'routes'ライブラリの変更の意味合いを明確にします:

 + pkg/types:IPAMを具象型にします

 + libcni:Typeが空の場合にエラーを返します

 + skel:VERSIONでstdinがブロックされないようにします

 + types.Routeの非ポインターインスタンスが、JSONに正しくマーシャリングするようになりました

 + libcni:ValidateNetwork関数とValidateNetworkList関数を追加します

 + pkg/skel:JSON構成にネットワーク名がない場合にエラーを返します

 + skel:プラグインバージョン文字列のサポートを追加します

 + libcni:ダウンストリームテストを改善するために、execでインターフェイスが処理されるようにします

 + libcni:apiで、操作をタイムアウトまたはキャンセルするためにContextが取得されるようになりました

 + types/version:PrevResultを解析するためのヘルパーを追加します

 + skel:エラーではなくメッセージのみを出力します

 + skel、invoke、libcni:CHECKメソッドの実装

 + cnitool:CNI_IFNAME環境変数を介して指定されたインターフェイス名を優先します。

 + cnitool:正しい引数数を検証します

 + 0.2.0から変換するときに、gwをIP4.GatewayからRoute.GWにコピーしません

 + PrintToメソッドをResultインターフェイスに追加します

 + プラグインが何も返さないときに、より適切なエラーを返します CNIプラグインディレクトリにスリープバイナリをインストールします

cni-pluginsが0.8.4に更新しました :

バージョン0.8.4への更新(bsc#1160460):mips64leのサポートを追加します

READMEの例に欠落していたcniVersionを追加します

go-iptablesモジュールをv0.4.5に更新します

iptables:べき等関数を追加します

チェーンが存在しない場合にportmapが失敗しないようにします

ポートマップポート転送の異常を修正します

Bruce MaとPiotr Skarmukを所有者として追加します

バージョン0.8.3への更新:拡張機能:

 - static:IPの入力ソースに優先順位を付けます(#400)。

 - tuning:MACアドレスが更新された場合に、gratuitous ARPを送信します(#403)。

 - bandwidth:帯域幅の値にuint64を使用します(#389)。

 - ptp:DNS設定が指定された場合にのみ、DNS confをオーバーライドします(#388)。

 - loopback:ループバックプラグインにprevResultsが提供されない場合に、返す結果を作成します(#383)。

 - ループバックでは、CNI CHECKと結果キャッシュがサポートされます(#374)。

入力検証の改善:

 - vlan:loadNetConfにMTU検証を追加します(#405)。

 - macvlan:loadNetConfにMTU検証を追加します(#404)。

 - bridge:net confのロード時にvlan idをチェックします(#394)。

バグ修正:

 - バグ修正:エラーチェック後に延期します。そうしないと、パニックになる可能性があります(#391)。

 - portmap:デュアルスタックのサポートを修正します(#379)。

 - firewall:prevResultが見つからない場合はDELでエラーを返しません(#390)。

 - libcniをv0.7.1に戻します(#377)。ドキュメント:

 - 貢献ドキュメント:実行するテストスクリプト名を修正します(#396)。

 - 貢献ドキュメント:cnitoolのインストールについて説明します(#397)。

プラグインのv0.8.2への更新 新機能:

 - staticとtuningで「args」をサポートします

 - Loopback DSRのサポートを追加し、l2tunnelネットワークをl2bridgeプラグインで使用できるようにします

 - host-local:同じADDリクエストが2回送信された場合にエラーを返します

 - bandwidth:競合を修正します

 - staticのips機能とtuningのmac機能をサポートします

 - pkg/veth:ホスト側のveth名を構成可能にします バグ修正:

 - 修正:ブリッジアドレスの設定に失敗しました:IPアドレスを'cni0'に追加できませんでした:ファイルが存在します

 - host-device:再試行を冪等にするための名前設定を取り消します(#357)。

 - ベンダー更新go-iptables。コミットf0d0510cabcb710d5c5dd284096f81444b9d8d10を取得するためのベンダー更新go-iptables

 - go.modとgo.subを更新します

 - ルートフラッシュを防ぐためにMACアドレス変更内のリンクDown/Upを削除します(#364)。

 - pkg/ip unit test:Linuxバージョンを認識していないLinux 4.4上のシステムコールのエラーメッセージは、「ファイルが存在します」ではなく「無効な引数」です

 - containernetworking/cniをv0.7.1に更新します

v0.8.1に更新されたプラグイン:バグ:

 - bridge:正しいソースアドレスを使用するようにipMasqセットアップを修正します

 - 386上のコンパイルエラーを修正します

 - bandwidth:コンテナインターフェイスを通してホストns内の帯域幅インターフェイスを取得します 改善:

 - host-device:pciBusIDプロパティを追加します

v0.8.0に更新されたプラグイン:新しいプラグイン:

 - bandwidth - 着信と発信の帯域幅を制限します

 - firewall - ファイアウォールルールにコンテナを追加します

 - sbr - コンテナルートをソースベースのルートに変換します

 - static - 固定IPアドレスを割り当てます

 - win-bridge、win-overlay:Windowsプラグイン プラグインの機能/変更ログ:

 - CHECKのサポート

 - macvlan:

 - macvlan用の空のipamの構成を許可します

 - マスター構成をオプションにします

 - bridge:

 - vlanタグをbridge cniプラグインに追加します

 - ユーザーにVLANタグの割り当てを許可します

 - L2ブリッジ実装。

 - dhcp:

 - DHCPREQUESTにSubnet Maskオプションパラメーターを含めます

 - systemdユニットファイルを追加し、systemdでソケットをアクティブにします

 - コンテナifNameをdhcp clientIDに追加し、clientIDの価値を高めます

 - flannel:

 - runtimeConfigをパススルーして委任します

 - host-local:

 - host-local:使用されたIPアドレスを追跡するファイルにifnameを追加します

 - host-device:

 - host-deviceでIPAMをサポートします

 - ループバックとhost-device用のDEL内の空のnetnsを処理します

 - tuning:

 - 'ip link'コマンドに関連する機能をtuningに追加します バグ修正とマイナーな変更

 - すべてのプラグインのipamの失敗で正しくDELします

 - cmdAddがmacvlanとhost-deviceで失敗した場合のip取り消しに関するバグを修正します

 - host-device:名前を変更する前にデバイスがダウンしていることを確認します

 - -hostprefixオプションを修正します

 - 一部のDHCPサーバーは、明示的なルーターオプションに対するリクエストを期待します

 - bridge:エラーの場合にIPを解放します

 - ipmasqルールのソースをipnからipに変更します

バージョンv0.7.5から:このリリースでは、portmapプラグインがマイナー変更されています:

 - Portmap:エントリルールを先頭ではなく末尾に追加します

これにより、ファイアウォールルールがポートマッピングによってバイパスされる可能性のある問題が修正されます

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Module for Public Cloud 15-SP1:zypper in -t patch SUSE-SLE-Module-Public-Cloud-15-SP1-2020-697=1

SUSE Linux Enterprise Module for Containers 15-SP1:zypper in -t patch SUSE-SLE-Module-Containers-15-SP1-2020-697=1

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=1155217

https://bugzilla.suse.com/show_bug.cgi?id=1160460

https://bugzilla.suse.com/show_bug.cgi?id=1164390

https://github.com/containers/libpod/issues/4844

https://www.suse.com/security/cve/CVE-2019-18466/

http://www.nessus.org/u?8e52eb3d

プラグインの詳細

深刻度: Medium

ID: 134653

ファイル名: suse_SU-2020-0697-1.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/3/18

更新日: 2024/3/21

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5.8

現状値: 4.5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P

CVSS スコアのソース: CVE-2019-18466

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 5

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:cni, p-cpe:/a:novell:suse_linux:cni-plugins, p-cpe:/a:novell:suse_linux:conmon, p-cpe:/a:novell:suse_linux:conmon-debuginfo, p-cpe:/a:novell:suse_linux:fuse-overlayfs, p-cpe:/a:novell:suse_linux:fuse-overlayfs-debuginfo, p-cpe:/a:novell:suse_linux:fuse-overlayfs-debugsource, p-cpe:/a:novell:suse_linux:podman, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/3/16

脆弱性公開日: 2019/10/28

参照情報

CVE: CVE-2019-18466