検出

openSUSEセキュリティ更新プログラム:singularity(openSUSE-2020-1011)

high Nessus プラグイン ID 138673

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このsingularityの更新では、次の問題を修正します:

 - 新しいバージョン3.6.0。このバージョンは、SIFイメージ用の新しい署名形式を導入し、次のセキュリティ問題に対処するために署名/検証コードに変更を加えます:

 - CVE-2020-13845、boo#1174150 3.6.0より前のSingularity 3.xバージョンでは、悪意のあるユーザーがECLをバイパスする可能性があります。

 - CVE-2020-13846、boo#1174148 Singularity 3.5では、SIFコンテナ内の一部のオブジェクトが署名されていないか、検証できない場合でも、singularity verifyに対する--all/-aオプションが成功を返します。

 - CVE-2020-13847、boo#1174152 3.6.0より前のSingularity 3.xバージョンでは、Singularityのsignコマンドとverifyコマンドが、SIFファイルのグローバルヘッダーまたはデータオブジェクト記述子で見つかったメタデータに署名しないため、攻撃者が予期せぬ動作を引き起こす可能性があります。署名されたコンテナが、悪意のある動作を引き起こすために利用され、変更された場合でも、検証に合格する可能性があります。

 - 新機能

 - 検証対象の新しい「--legacy-insecure」フラグにより、古くて安全でない形式のSIF署名の検証が可能になります。

 - インスタンスSTDERR/STDOUTログファイルへのパスを表示する、インスタンスリスト用の新しい「-l/--logs」フラグ。

 - インスタンスリストの--json出力に、STDERR/STDOUTログファイルへのパスが含まれるようになりました。

 - Singularityが、/bin/shを含まない最小限のDocker/OCIコンテナの実行をサポートするようになりました(例:
 docker://hello-world)。

 - アトミック名前変更をサポートするファイルシステム上で同時実行セーフな新しいキャッシュ構造が使用されます。3.6の使用後にSingularity 3.5以前にダウングレードした場合は、singularity cache cleanを実行する必要があります。

 - プラグインシステムの変更により、新しいフックポイントが追加され、ランタイムの動作を変更するプラグインの開発が可能になります。プラグインがイメージマウントとオーバーレイマウントの新しい処理方法をサポートするために、イメージドライバーの概念が導入されました。3.5以前用にビルドされたプラグインは、3.6と互換性がありません。

 - --bindフラグで、SIFまたはext3イメージからコンテナにディレクトリをバインドできるようになりました。

 - FUSEドライバーを介してコンテナにファイルシステムをマウントする--fusemount機能が、サポート対象機能になりました(以前は実験的な隠しフラグでした)。

 - これにより、ユーザーは、ランタイムでsshfsやcvmfsなどのファイルシステムをコンテナにマウントできます。

 - 新しい-c/--configフラグにより、rootユーザーまたは非特権インストール内の全ユーザーが代替のsingularity.confを指定できます。

 - 新しい--envフラグにより、Singularityコマンドラインを介してコンテナ環境変数を設定できます。

 - 新しい--env-fileフラグにより、指定したファイルからコンテナ環境変数を設定できます。

 - キャッシュクリーン用の新しい--daysフラグにより、指定した日数より古い項目の削除が可能になります。キャッシュエントリがフレンドリ名ではなくハッシュによって保存されるため、有用性の低い--nameフラグを置き換えます。

 - デフォルト/動作を変更しました

 - 新しい署名形式(上記のセキュリティ修正を参照してください)。

 - 固定数のスペースを使用して長いインスタンス名に対応する代わりに、入力の長さに基づいて動的に変更されるように、singularityインスタンスリストのスペースを修正しました。

 - SINGUlarITYENV_プレフィックス付きの環境変数が、SINGUlarITYENV_プレフィックスなしの変数より常に優先されます。

 - %postビルドセクションが、ベースイメージから環境変数を継承します。

 - %files from ...が、直接指定されたか、globパターンから直接解決されたソースのシンボリックリンクをたどるようになりました。ディレクトリトラバーサルを通して見つかったシンボリックリンクはたどりません。これは、Dockerの多段階COPY動作を反映しています。

 - v2のCWDマウント動作を復元しました。これは、CWDパスがコンテナ内で再作成されず、コンテナ内の宛先パスを決定するためにCWDパス内のシンボリックリンクが解決されなくなったことを意味します。

 - %testビルドセクションが、singularity test imageと同じ方法で実行されます。

 コンテナを使用した--fusemount:デフォルトディレクティブが、FUSEプロセスをフォアグラウンドにします。以前の動作には、container-daemon:を使用してください。

 - 新しい署名動作によってデフォルトにならないように、署名/検証するための-a/--allオプションを廃止します。

 - アップストリーム変更の詳細については、以下をチェックしてください:
 https://github.com/hpcng/singularity/blob/master/CHANGELOG.md

 - キャッシュクリーン用の--nameフラグを削除し、
 --daysに置き換えました。

ソリューション

影響を受けるsingularityパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1174148

https://bugzilla.opensuse.org/show_bug.cgi?id=1174150

https://bugzilla.opensuse.org/show_bug.cgi?id=1174152

https://github.com/hpcng/singularity/blob/master/CHANGELOG.md

プラグインの詳細

深刻度: High

ID: 138673

ファイル名: openSUSE-2020-1011.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/7/20

更新日: 2024/2/29

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2020-13847

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:singularity, p-cpe:/a:novell:opensuse:singularity-debuginfo, cpe:/o:novell:opensuse:15.2

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/7/19

脆弱性公開日: 2020/7/14

参照情報

CVE: CVE-2020-13845, CVE-2020-13846, CVE-2020-13847