検出

SUSE SLES15セキュリティ更新プログラム:skopeo(SUSE-SU-2020:0712-1)

medium Nessus プラグイン ID 134697

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

このskopeoの更新では、次の問題を修正します:

skopeo v0.1.41への更新(bsc#1165715):

github.com/containers/image/v5を5.2.0から5.2.1に更新します

gopkg.in/yaml.v2を2.2.7から2.2.8に更新します

github.com/containers/commonを0.0.7から0.1.4に更新します

openshift/apiへの参照を削除します

ベンダーgithub.com/containers/image/[email protected]

buildahをv1.13.1に手動で更新します

特定のauthfileオプションをcopy(およびsync)コマンドに追加します。

github.com/containers/buildahを1.11.6から1.12.0に更新します

--encryption-key / --decryption-keyの処理の失敗にコンテキストを追加します

github.com/containers/storageを1.15.2から1.15.3に更新します

github.com/containers/buildahを1.11.5から1.11.6に更新します

c/image/storage上の直接参照を削除します

Makefile:GOBINを設定します

gopkg.in/yaml.v2を2.2.2から2.2.7に更新します

github.com/containers/storageを1.15.1から1.15.2に更新します

syncコマンドを導入します

openshift cluster:teardownで.dockerディレクトリを削除します

github.com/containers/storageを1.14.0から1.15.1に更新します

alpine上のapkを介してインストールを文書化します

画像の暗号化に関するドキュメント内の誤字を修正します

skopeo内の画像暗号化/復号化のサポート

vendor-in-containerを作成します

github.com/containers/buildahを1.11.4から1.11.5に更新します

Travis:go v1.13を使用します

multi-archテストのためにServer Coreの代わりにWindows Nano Serverイメージを使用します

テストのタイムアウトを15分に増やします

--net=hostなしでtest-systemコンテナを実行します

/run/systemd/journal/socketをtest-systemコンテナにマウントします

(go list ./...)の出力からベンダーを不必要に除外しません

(go {list,test,vet})で-mod=vendorを使用します

github.com/containers/buildahを1.8.4から1.11.4に更新します

github.com/urfave/cliを1.20.0から1.22.1に更新します

skopeo:ostreeのサポートをドロップします

タグの一覧表示で403の重要度緊急エラーを引き起こしません

「一時的にauth.jsonの位置の取り違えを回避します」を取り消します

atomicへの参照を削除します

storage.confへの参照を削除します

Dockerfile:golang-github-cpuguy83-go-md2manを使用します

バージョンをv0.1.41-devに更新します

systemtest:現在のプラットフォームarchとは異なるコンテナイメージを検査します

v0.1.40での変更:ベンダーコンテナ/イメージv5.0.0

copy:--all/-aフラグを追加します

システムテスト:さまざまな修正

一時的にauth.jsonの位置の取り違えを回避します

systemtest:copy:docker->storage->oci-archive

systemtest/010-inspect.bats:PATHのみを要求します

systemtest:inspect.batsに簡単なenvテストを追加します

bashの完了:散在しているオプションの同期を維持するためのコメントを追加します

bashの完了:SC2207を無効にする代わりにread -rを使用します

bashの完了:--opt argの完了をサポートします

bash-completion:sedの代わりにreplacementを使用します

bashの完了:shellcheck SC2207を無効にします

bashの完了:再分割を回避するための二重引用符

bashの完了:sedの代わりにbash replacementを使用します

bashの完了:未使用の変数を削除します

bash-completion:retvalのマスクを回避するためにdeclとassignmentを分離します

bashの完了:二重引用符の修正

bashの完了:PROG=skopeoをハードセットします

bashの完了:未使用の変数を削除します

bashの完了:'-o'の代わりに'||'を使用します

bashの完了:割り当てられた変数に対してrm evalします

copy:--dest-compress-formatと--dest-compress-levelを追加します

フラグ:optionalIntValueを追加します

Makefile:goプロキシを使用します

inspect --raw:NewImage()ステップをスキップします

OCI image-specを775207bd45b6cb8153ce218cc59351799217451451fに更新します

inspect.go:env変数を検査します

ostree:imageと& storageの両方のビルドタグを使用します

skopeo v0.1.39への更新(bsc#1159530):inspect:--configフラグを追加します

skopeo inspectに--no-credsフラグを追加します

skopeo copyに--quietオプションを追加します

新しいプログレスバー

速度を大幅に向上させるパラレルプルとパラレルプッシュ

コンテナ/イメージが新しいプログレスバーライブラリに移動され、バーの重複と冗長なエントリに関連するさまざまな問題が修正されました。

レジストリのブロック化を強制します

storage-multiple-manifestsを許可します

画像をコピーし、出力がttyでない場合(ファイルへのパイプ入力の場合など)は、プログレスバーを使用する代わりに単一行を出力します。これにより、長くて解析が困難な出力が回避されます

manページ:--dest-oci-accept-uncompressed-layersを追加します

completions:

 - トランスポートの完了を導入します

 - オプションが引数を必要とする場合のbashの完了を修正します

 - インデントに空白のみを使用します

 - グローバルオプションを使用した完了を修正します

 - --dest-oci-accept-uncompressed-layersを追加します

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Module for Server Applications 15-SP1:zypper in
-t patch SUSE-SLE-Module-Server-Applications-15-SP1-2020-712=1

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=1159530

https://bugzilla.suse.com/show_bug.cgi?id=1165715

https://www.suse.com/security/cve/CVE-2019-10214/

http://www.nessus.org/u?3b5c5e74

プラグインの詳細

深刻度: Medium

ID: 134697

ファイル名: suse_SU-2020-0712-1.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/3/19

更新日: 2024/3/21

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2019-10214

CVSS v3

リスクファクター: Medium

基本値: 5.9

現状値: 5.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:skopeo, p-cpe:/a:novell:suse_linux:skopeo-debuginfo, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/3/18

脆弱性公開日: 2019/11/25

参照情報

CVE: CVE-2019-10214