openSUSEセキュリティ更新プログラム:conmon/fuse-overlayfs/libcontainers-common/など(openSUSE-2020-1559)
medium Nessus プラグイン ID 141077
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このconmon、fuse-overlayfs、libcontainers-common、podmanの更新では、次の問題が修正されます:podmanがv2.0.6に更新されました(bsc#1175821)
- 新しいREST APIに対して欠落しているsystemdユニットをインストールし(bsc#1175957)、以前欠落していたいくつかのmanページをインストールします
- varlink API関連ビットをドロップします(新しいAPIに代わって)
- zshを完了するためのインストール場所を修正します
- cgroups v1システムのコンテナでsystemdを実行すると失敗するバグを修正しました。
- コンテナの/etc/passwdにコンテナを起動したユーザーのエントリが含まれていない場合に、コンテナを再起動するたびに/etc/passwdが再作成される可能性のあるバグを修正しました。
- 非rootユーザーを指定する/etc/passwdファイルのないコンテナが起動しないバグを修正しました。
- 場合によって--remoteフラグがリモート接続を行わず、代わりにローカルでPodmanの実行を試行するバグを修正しました。
v2.0.6への更新:
- 機能
- --userns=keep-idで実行した場合、rootless PodmanによりPodmanを実行したユーザーのエントリが/etc/passwdに追加されるようになりました。
- podmanシステム接続コマンドは、複数の接続をサポートするために作り直され、使用可能になりました。
- 現在、Podmanには、リモートのPodman APIインスタンスへの接続を指定するための新しいグローバルフラグ--connectionがあります。
- 変更
- Podmanの自動systemd統合(
デフォルトで設定される--systemd=trueフラグによって有効化)は、 単に/usr/sbin/initおよび/sbin/init(およびsystemdで終わるパス)ではなく、コマンドとして/usr/local/sbin/initを使用するコンテナに対して有効になります。
- podman createおよびpodman runに対して--security-opt seccomp=...フラグで指定されるseccompプロファイルは、コンテナが
--privilegedを使用して作成された場合でも反映されるようになりました。
- バグ修正
- podman play kubeがポート転送でhostIPフィールドを遵守しないバグを修正しました(#5964)。
- 無効な再起動ポリシーが指定されたときにpodman generate systemdコマンドでパニックが発生するバグを修正しました(#7271)。
- 多数の画像が存在する場合に、podman imagesコマンドの完了に非常に長い時間(数分)がかかるバグを修正しました。
- 大量の出力が印刷される場合、
--tailフラグを含むpodman logsコマンドが適切に機能しないバグを修正しました((#7230)[https://github.com//issues/7230])。
- execセッションの開始が失敗した場合に(存在しないコマンドの呼び出しなど)、リモートのPodmanを使用するpodman execコマンドで、ゼロ以外の終了コードが返さされないバグを修正しました(#6893)。
- リモートのPodmanを使用するpodman loadコマンドで、ユーザー指定のタグが遵守されないバグを修正しました(#7124)。
- Systemdによって非rootユーザーとして実行する場合に、podman system serviceコマンドでPodman一時停止プロセスが適切に処理されず、結果として正常に再起動されないバグを修正しました(#7180)。
- podman create、podman run、およびpodman pod createに対して--publishフラグを使用すると、0.0.0.0のホストIPが適切に処理されない(システム上のすべてのIPの代わりにリテラルの0.0.0.0へのバインドが試行される)バグを修正しました(#7104)。
- コンテナの終了が原因でコマンドが終了した場合に、podman start--attachコマンドでコンテナの終了コードが出力されないバグを修正しました。
- --volumesフラグが指定されている場合でも、リモートのPodmanを使用するpodman rmコマンドで、ボリュームが削除されないバグを修正しました(#7128)。
- コンテナが完全に削除される前に、リモートのPodmanを使用するpodman runコマンドと--rmフラグが終了する可能性があったバグを修正しました。
- --pod new: ...フラグをpodman runおよびpodman createに使用すると、名前空間を共有しないポッドが作成されたバグを修正しました。
- podman runおよびpodman execに対して--preserve-fdsフラグを使用すると、ユーザー提供の記述子をコンテナに渡した後でこれらを閉じようとする前に、誤ったファイル記述子を閉じる可能性があったバグを修正しました。
- イメージによって提供されない場合にデフォルトの環境変数($PATHおよび$TERM)がコンテナで設定されないバグを修正しました。
- 終了後にポッドインフラコンテナが適切にマウント解除されないバグを修正しました。
- IPv6サブネットでpodman network createで作成されたネットワークがIPv6デフォルトルートを適切に設定しないバグを修正しました。
- 出力が別のコマンドにパイピングされたときにpodman saveコマンドが適切に動作しないバグを修正しました(#7017)。
- cgroups v1システムでsystemd initを使用しているコンテナが、/sys/fs/cgroup/systemdの下のマウントをホストに漏洩する可能性があったバグを修正しました。
- podman buildで完了時にイベントが生成されないバグを修正しました(#7022)。
- リモートのPodmanを使用してpodman historyコマンドを実行すると、レイヤーに対して不適切な作成時間が出力されるバグを修正しました(#7122)。
- Podmanにより、コンテナイメージで指定された作業ディレクトリが存在しない場合に作成されないバグを修正。
- ユーザーがENTRYPOINTをオーバーライドした場合に、PodmanによりコンテナイメージからCMDが消去されないバグを修正しました(#7115)。
- イメージ名の解析中のエラーが完全に報告されないバグを修正しました(正確な問題を含むエラーメッセージの一部がドロップされていました)。
- リモートのPodmanを使用してpodman imagesコマンドを実行すると、--formatフラグに指定されたGoテンプレートでイメージタグの印刷がサポートされないバグを修正しました(#7123)。
- podman rmi --forceコマンドで、削除するコンテナのアンマウントが試行されないバグを修正しました。これにより、画像の削除に失敗する可能性がありました。
- podman generate systemd --newコマンドで、空白を含むPodmanに対する引数が不適切に引用符で囲まれ、ユニットファイルが機能しなくなるバグを修正しました(#7285)。
- podman versionコマンドで、ビルド時間とGitコミットが適切に含まれないバグを修正しました。
- systemd cgroupマネージャーを使用しないシステム上のPodmanコンテナで、systemdを実行すると失敗するバグを修正しました(#6734)。
- コンテナが--userを介して非rootユーザーとして起動された場合に、--cap-addの機能が適切に追加されなかったバグを修正しました。
- Podインフラコンテナが停止した際に適切にクリーンアップされず、ネットワーキングの問題が発生していたバグを修正しました(#7103)。
- API
- libpodとcompatのビルドエンドポイントで、application/tarコンテンツタイプが受け入れられない(代わりに、application/x-tarのみが受け入れられる)バグを修正しました(#7185)。
- libpod Existsエンドポイントで、一部のエラー状態において2番目のヘッダーの書き込みが試行されたバグを修正しました(#7197)。
- リクエストされたネットワークが見つからない場合に、compatおよびlibpodのNetwork InspectエンドポイントとNetwork Removeエンドポイントで、404ではなく500が返されるバグを修正しました。
- バージョン化された_pingエンドポイント(例:
http://localhost/v1.40/_ping)。
- podmanシステムサービスがアイドルタイムアウトによりシャットダウンする場合に、REST APIのsystemd管理のインスタンスを通じて起動されたコンテナがシャットダウンしていたバグを修正しました(#7294)。
- サブネットマスクが有効値となるように、libpod Network Createエンドポイントに対してより強力なパラメーター検証を追加しました。
- Libpod Container Listエンドポイントに対するPod URLパラメーターが廃止されました。以前はPodブール値によってゲートされていた情報は、無条件に応答に含まれるようになりました。
- AppArmorのハード要件を推奨に変更しました。これらはランタイムまたはSELinuxでは必要ありませんが、AppArmorを使用する場合はすでにインストールされています[jsc#SMO-15]
- SELinuxサポートのあるビルドにpkg-config(libselinux)用のBuildRequiresを追加します[jsc#SMO-15]
v2.0.4への更新
- podman image searchの出力で、誤ってIDフィールドに割り当てられたために説明フィールドが入力されないバグを修正しました。
- podman buildおよび、HTTPターゲットでのpodman buildが失敗していたバグを修正しました。
- rootless Podmanで、匿名ボリュームのコピーされたコンテンツが不適切にchownされていたバグを修正しました(#7130)。
- PodmanのCLI出力で、特殊文字がHTMLエスケープされることがあったバグを修正しました。
- podman start --attach
--interactiveコマンドで、終了時にアタッチされたコンテナのコンテナIDが印刷されていたバグを修正しました(#7068)。
- podman run --ipc=host --pid=hostで、--pid=hostのみが設定され、--ipc=hostが設定されないバグを修正しました(#7100)。
- podman run、podman createおよびpodman pod createに対する--publish引数により、同じコンテナポートを複数のホストポートにバインドできなかったバグを修正しました(#7062)。
- podman images
--formatに対する不適切な引数により、Podmanでセグメンテーション違反が発生する可能性のあったバグを修正しました。
- イメージIDに複数の名前が存在し、そのイメージが少なくとも1つのコンテナで使用されている場合に、そのイメージIDに対してpodman rmi --forceを実行すると、そのイメージを使用するコンテナが完全には削除されなかったバグを修正しました(#7153)。
- メモリ使用量(バイト単位)とメモリ使用率が、podman stats
--format=jsonの出力でスワップされていたバグを修正しました。
- フィルターが指定されない場合に、libpodイベントとcompatイベントのエンドポイントが失敗していたバグを修正しました(#7078)。
- compat Infoエンドポイントからの応答のCgroupVersionフィールドに「v」のプレフィックスが付いていたバグが修正されました(記載されているように、「1」または「2」だけでなく)。
- katacontainersを推奨する代わりに提案します。デフォルトでは有効化されていないため、単に過度に拡張されます
v2.0.3への更新
- エントリポイントの処理を修正します
- ログAPI:コンテキストを追加してキャンセルできるようにします
- APIの修正:無効な構成でコンテナを作成
- Libpodから指定されたリターン「err」のすべてのインスタンスを削除します
- 修正:ハイジャックされた接続の接続カウンターを修正します
- 修正:rfc 7230のセマンティクスに従うためにv2エンドポイントをハイジャックします
- ハイジャックされた接続をアクティブな接続リストから削除します
- バージョン/情報:フォーマット:より多くのjsonバリアントを許可
- 非端末リモートexecでSTDOUTを適切に印刷します
- リモート作成用のコンテナおよびポッド作成コマンドを修正します
- /sys/devをマスクして、ホストからの情報漏洩を防止します
- sig-proxyのデフォルトが起動時に伝播されるようにします
- コンテナの検査にSystemdModeを追加します
- systemdモードを判断する際に、完全なコマンドを使用します
- lintを修正します
-「pod inspect」で残りの未使用フィールドに入力します
-「pod inspect」にインフラコンテナ情報を含めます
- play-kube:「IfNotPresent」プルタイプのサポートを追加
- docs:ユーザーの名前空間をポッドで共有できません
-「エラー:ポートマッピングにおける認識されないプロトコル「TCP」」を修正します
- ルートのないMACおよびIPアドレスのエラー
- コードベースの問題のある言語に関する修正および注記の追加
- abi:デフォルトのumaskとrlimitsを設定します
- タグ解析でエラーのある参照パッケージを使用しました
- 修正:画像に名前がない場合のシステムdfエラー
- APIタイトル/説明の生成を修正
- noop関数disable-content-trustを追加します
- play kubeがdockerfile ENTRYPOINTをオーバーライドしない問題を修正します
- apparmorのデフォルトプロファイルをサポート
- github.com/containers/commonをv0.14.6に更新します
- イベントエンドポイント:旧型に対する後方互換
- イベントエンドポイント:パニックと競合状態を修正します
- 参照をlibpod.confからContainers.confに切り替えます
- podman.service:タイプをsimpleに設定します
- podman.service:docをpodman-system-serviceに設定します
- podman.service:デフォルトのregistries.confを使用します
- podman.service:デフォルトのkillmodeを使用します
- podman.service:停止タイムアウトを削除します
- systemd:シンボリックリンクユーザー->システム
- ベンダーgolang.org/x/[email protected]
- --pids-limitが不適切に解析されていたバグを修正します
- search:ワイルドカードを許可します
- [CI: DOCS] policy.jsonをゲート画像にコピーしません
- systemd pid 1テストを修正します
- Cirrus:ポストリポジトリでキーを回転します。改名
- libpod.conf(5) manページが削除され、すべての参照が、libcontainers-commonパッケージの一部となるcontainers.conf(5)を指すようになりました。
podman v2.0.2に更新してください
-「libpod.GetEvents(...)」の競合状態を修正します
-「podman mount」がルートなしとしてエラーにならなかったバグを修正します
- podmanシステム接続を削除します
- libpodでv2が使用されるようにインポートを修正します
- v2.0.2のリリースノートを更新
- specgen:rlimits設定の順序を修正します
- umaskが「システムサービス」に対して適切に設定されるようにします
- systemdを生成:pod-flagsフィルターを改善します
- APIv2 compat network removeによるバグを修正し、nilではなくErrNetworkNotFoundがログに記録されるようにします
- --remoteフラグの問題を修正します
- pids-limitは、ユーザーが設定した場合にのみ設定される必要があります
- Windowsのコンソールモードを設定します
- --publishフラグの空のホストポートを許可します
-「システムサービス」でサポートされるAPIに対して注記を追加します
- 修正:「nil」の場合、エントリポイントをオーバーライドしません
- 設定されていない場合、デフォルトでTMPDIRを/var/tmpに設定します
- テスト:--userおよびボリュームのテストを追加します
- コンテナ:仕様の生成後にボリュームchownを移動します
- libpod:ボリュームコピーアップで名前空間マッピングを遵守します
- イベントの早期ハングアップによる「システムサービス」パニックを修正します
- e2eテストでpodmanサービスを停止します
- ポッドの個々のコンテナからエラーを印刷します
- 自動更新:systemd-unitの要件を明確にします
- podman psでコマンドを切り捨てます
- goモジュールをv2に移動します
- ベンダーcontainers/common v0.14.4
- v2ブランチでimagebuilder v1.1.6に更新します
- イメージ名の非デフォルトポート番号の説明
- v2.0.1以降の変更
- v2.0.1の追加の変更でリリースノートを更新します
- 複数のラベルを表示するように検査を修正します:変更
- log-level=debugでのexitコマンドに対してsyslogを設定します
- pr 6751に対する分かりやすい修正
- podman run/create:すべてのトランスポートをサポート
- systemd generate:ポッド内のコンテナユニットを手動で再起動できるようにします
- コンテナへの--remoteフラグの送信を取り消します
- ネットワークを共有するCTR向けの「ps」でのポートマッピングを出力します
- ベンダーgithub.com/containers/[email protected]
- v2.0.1のリリースノートを更新
- utils:uid!=0の実行時にデフォルトのマッピングをドロップします
- 明示的に設定されていない場合に停止信号を15に設定します
- podman untag:タグが存在しない場合のエラー
- 検査ネットワーク設定の再フォーマット
- APIv2:ボリューム作成から「StatusCreated」を返します
- APIv2:fix:compatネットワークEPから「/json」を削除します
- ssh-agentのサポートを修正します
- libpod:ストレージに対してマッピングを指定します
- APIv2:doc:swagger docがボリュームを参照するように修正します
- podmanネットワークをbashコマンドの完了に追加します
-「podman auto update」のmanページの誤字を修正します。
- psのJSON出力フィールドを追加します
- V2 podmanシステム接続
- 画像読み込み:引数は不要
- PODMAN_USERNS環境変数を再追加します
- 特権フラグとその他のフラグの間の競合を修正します
- 必要なgoバージョンを1.13に更新します
- テストケースで、明示的なコマンドをalpineコンテナに追加します。
- タイマーにPOLL_DURATIONを使用します
- タイマーを使用する次のログを停止します
- 生成されたsystemdユニットファイルの名前で「pod」が「po」に切り捨てられていました。
- rootless_linux:エラーメッセージを改善します
- --http-proxyフラグのpodman buildによる処理を修正します
-「rm」実行可能ファイルの絶対パスを修正します
- Makefile:カスタマイズ可能なGO_BUILDを許可します
- Cirrus:DEST_BRANCHをv2.0に変更します
podman v2.0.0に更新します
-「podman generate systemd」コマンドが、ポッドで使用される際に「--new」フラグをサポートするようになり、ポッドのポータブルサービスを作成できるようになりました。
-「podman play kube」コマンドが、Kubernetes Deployment YAMLの実行をサポートするようになりました。
-「podman exec」コマンドが、コンテナでコマンドをバックグラウンドで実行するために、「--detach」フラグをサポートするようになりました。
-「podman run」および「podman create」に対する「-p」フラグが、IPv6アドレスへのポート転送をサポートするようになりました。
-「podman run」、「podman create」および「podman pod create」コマンドが、同じ名前を持つ任意の既存のコンテナ(または、「pod create」の場合にはポッド)を削除および置換するために、「--replace」フラグをサポートするようになりました。
-「podman run」および「podman create」に対する「--restart-policy」フラグが、「unless-stopped」再起動ポリシーをサポートするようになりました。
-「podman run」および「podman create」に対する「--log-driver」フラグが、コンテナの出力をログに記録しない「none」ドライバーをサポートするようになりました。
-「podman run」および「podman create」に対する「--mount」フラグが、「ro」に対するエイリアスとして「readonly」オプションを受け入れるようになりました。
-「podman generate systemd」コマンドが、生成されるユニットファイルの名前を制御するために、「--container-prefix」、「--pod-prefix」、「--separator」の引数をサポートするようになりました。
-「podman network ls」コマンドが、結果をフィルタリングするために、「--filter」フラグをサポートするようになりました。
-「podman auto-update」コマンドが、「io.containers.autoupdate.authfile」ラベルを使用してコンテナごとに新しいイメージをプルする際に使用するauthfileの指定をサポートするようになりました。
- journaldに記録されたコンテナで実行されると、「podman exec」コマンドがjournaldに記録されていたバグを修正しました([#6555](https://github.com/containers/libpod/issues/6555))。
-「podman auto-update」コマンドで、置換をプルするときに元のイメージのOSとアーキテクチャが保持されなかったバグを修正しました([#6613](https://github.com/containers/libpod/issues/6613))。
-「podman cp」コマンドで、既存のディレクトリにコピーするときに余分な「merged」ディレクトリが作成される可能性があったバグを修正しました([#6596](https://github.com/containers/libpod/issues/6596))。
-「--network=host」でポッドを実行すると「podman pod stats」コマンドがクラッシュしていたバグを修正しました([#5652](https://github.com/containers/libpod/issues/5652))。
- journaldに書き込まれたコンテナログにコンテナの名前が含まれなかったバグを修正しました。
-「podman network inspect」および「podman network rm」コマンドで、デフォルト以外のCNI構成パスが適切に処理されなかったバグを修正しました([#6212](https://github.com/containers/libpod/issues/6212))。
- KataコンテナOCIランタイムを使用している場合に、Podmanでコンテナが適切に削除されなかったバグを修正しました。
-「podman inspect」で、「--net=none」により開始されたコンテナのネットワークモードが不適切に報告されることがあったバグを修正しました。
- Podmanは、監視しているコンテナの前に「conmon」がkillされるケースをより適切に処理できるようになりました。
podman v1.9.3に更新します:
- FIPSが有効なホストで、FIPSモードのシークレットがコンテナに適切にマウントされなかったバグを修正しました
- Varlinkでビルドを実行するとハングアップしていたバグを修正しました
- ダイジェストでターゲットイメージが指定されると、podman saveが失敗していたバグを修正しました
- 並行性問題により、ポートの転送先であるルートのないコンテナでパニックが発生し、コアがダンプされる可能性があったバグを修正しました(#6018)
- rootless Podmanがrootlessユーザー名前空間を開く際に競合して、コマンドの実行が失敗する可能性があったバグを修正しました
- --http-proxyフラグによりコンテナに転送されたHTTPプロキシ環境変数を、--envまたは--env-fileでオーバーライドできなかったバグを修正しました
- rootless Podmanで、systemd管理のcgroupを使用していない(したがって、リソース制限をサポートしていない)cgroups v2システムにリソース制限を設定していて、コンテナの起動に失敗していたバグを修正しました
podmanをv1.9.1に更新してください:
- バグ修正
- コンテナログのパスが--log-pathを使用して手動で設定され、複数のコンテナログが同じディレクトリに配置された場合に、ヘルスチェックが機能しなくなる可能性があったバグを修正しました
- rootless Podmanで、古いlibpod.confを使用している場合に、無効なCGroupマネージャー構成に関する多数の警告メッセージが出力される可能性があったバグを修正しました
- rootless Podmanがrootlessユーザー名前空間に参加する際に、名前空間を閉じるのに失敗することがあったバグを修正しました
podmanをv1.9.0に更新してください:
- 機能
- podmanの実行に実験的なサポートが追加されました
--userns=auto。これは、新しいコンテナのユーザー名前空間に一意のUIDとGIDの範囲を自動的に割り当てます
- podman play kubeコマンドに、作成されたポッドを1つ以上のCNIネットワークに配置するための--networkフラグが追加されました
- podman commitコマンドが、コミットされたイメージのIDをファイルに書き込むための--iidfileフラグをサポートするようになりました
- 新しいcontainers.conf構成ファイルの初期サポートが追加されました。 containers.confにより、一部のPodman機能のより詳細な構成が可能になります
- 変更
- podman infoコマンドが大幅にクリーンアップされ、結果として重大な変更になりました。多くのフィールドの名前が、APIv2での使用に合わせて変更されました
- --timeoutフラグのすべての使用が、代替の--timeを優先するように切り替えられました。--timeoutフラグは引き続き機能しますが、manページと--helpでは
代わりに--timeが使用されます
- バグ修正
- ホストからのボリュームマウントの一部で、マウント時に使用する必要のあるフラグを適切に判断できないことがあったバグを修正しました
- PodmanでConmonおよびOCIランタイムに$PATHが伝播されず、それを必要とする一部のOCIランタイムで問題が発生していたバグを修正しました
- rootless Podmanで、cgroupをサポートしていないコンテナで実行した場合に、systemd cgroupのサポートがないことに関するエラーメッセージが出力されていたバグを修正しました
- podman play kubeで、コンテナのみのポートマッピングが適切に処理されなかったバグを修正しました(#5610)
- podman container pruneコマンドで、作成および構成された状態のコンテナがプルーニングされなかったバグを修正しました
- Podmanで、再起動後にCNI IPアドレス割り当てが適切に削除されなかったバグを修正しました(#5433)
- Podmanで、--security-optがコマンドラインに指定されてない場合に、デフォルトのSeccompプロファイルが適切に適用されなかったバグを修正しました
- HTTP API
- Change、Checkpoint、Init、Restoreを含む、多くのLibpod APIエンドポイントが追加されています
- アクティブな接続がまだ存在しているうちにpodmanシステムサービスコマンドがタイムアウトして終了していた問題を解決しました
- Podman 2.0でベータリリースのAPIをまもなく準備するため、全体の安定性が大幅に改善されました
- その他
- ポッドのデフォルトインフライメージがk8s.gcr.io/pauseにアップグレードされました:非AMD64イメージのアーキテクチャメタデータにおけるバグに対処するために、3.2(3.1から)
- rootless Podmanのslirp4netnsネットワーキングユーティリティでは、Seccompフィルタリングを使用するようになりました(セキュリティの向上のために利用可能な場合)
- Buildahをv1.14.8に更新しました
- コンテナ/ストレージをv1.18.2に更新しました
- containers/imageをv5.4.3に更新しました
- containers/commonをv0.8.1に更新しました
- journaldロギングのサポート付きでビルドするために「systemd」BUILDFLAGSを追加します(bsc#1162432)
podmanをv1.8.2に更新してください:
- 機能
- Systemdユニットファイルを介して管理されるコンテナを自動的に更新するための初期サポートが統合されました。これにより、イメージの新しいバージョンが利用可能になった場合に、コンテナが自動的にアップグレードされます
- バグ修正
- podman generate systemd --newによって生成されたユニットファイルがコンテナのデタッチを強制しないため、起動を試行する際にユニットがタイムアウトしていたバグを修正しました。
- podman system resetで、旧式のPodmanによって作成されたインストールでルートなしとして実行された場合に、重要なシステムディレクトリが削除される可能性があったバグを修正しました(#4831)
- podman buildによってビルドされたイメージにより、ビルドに使用されたOSおよびアーキテクチャが適切に設定されなかったバグを修正しました(#5503)
- --sig-proxyを有効(デフォルト)にしてアタッチされたpodman runで、Go 1.14を使用してビルドする際に、コンテナ内のプロセスに信号23が繰り返し送信され、コンテナの停止時にエラーが生成される可能性があったバグを修正しました(#5483)
- ポートを転送する際にrootless Podmanの実行コマンドがハングアップする可能性があったバグを修正しました
- /procがhidepidオプションを設定してマウントされたときに、rootless Podmanが動作しなかったバグを修正しました
- podmanシステムサービスコマンドで、--timeoutが0に設定されている場合に、CPUを大量に使用していたバグを修正しました(#5531)
- HTTP API
- イメージマニフェストリストでの作成および操作に関連するLibpodエンドポイントの初期サポートが追加されました
- Libpod HealthcheckおよびEvents APIエンドポイントがサポートされるようになりました
- Swaggerエンドポイントで、Swaggerドキュメントが生成されていない場合も処理できるようになりました
podmanをv1.8.1に更新してください:
- 機能
- podman pod createに多数のネットワーキング関連のフラグが追加され、次を含むポッドネットワークのカスタマイズが可能になりました
--add-host、 --dns、 --dns-opt、 --dns-search、 --ip、
--mac-address、 --networkおよび --no-hosts
- podman ps --format=jsonコマンドに、次で作成されたイメージコンテナのIDが含まれるようになりました
- podman runおよびpodman createコマンドは、
--rmiフラグを特徴としており、これにより、コンテナで終了後に使用されていたイメージが削除されます(前述のイメージを使用しているコンテナが他にない場合)([#4628](https://github.com/containers/libpod/issues/4628))
- podman createコマンドとpodman runコマンドで、
--device-cgroup-ruleフラグがサポートされるようになりました(#4876)
- HTTP APIはalphaのままですが、多くの修正や追加が行われました。これらは、以下の別のサブセクションで文書化されています
- podman createおよびpodman runコマンドは、
--no-healthcheckフラグを特徴としており、これにより、コンテナのヘルスチェックが無効化されます(#5299)
- コンテナで、実行するイメージに必要な機能のリストを指定するio.containers.capabilitiesラベルが認識されるようになりました。これらの機能は、使用されるデフォルトの機能より制限的である場合に使用されます
- podman generate kubeコマンドによって生成されるYAMLに、
--security-opt label=...を介してコンテナに渡されるSELinux構成が含まれるようになりました(#4950)
- バグ修正
最初にコンテナにマウントする前に手動で入力したボリュームのコンテンツが、最初にコンテナにマウントするときに上書きされる可能性があったセキュリティ問題CVE-2020-1726を修正しました
- DNSプラグインが有効化されたCNIネットワークのユーザー名前空間を持つPodmanコンテナで、DNSプラグインのネームサーバーがそのresolv.confに追加されなかったバグを修正しました([#5256](https://github.com/containers/libpod/issues/5256))
- イメージボリューム定義の末尾の/文字が原因で、同じ場所のユーザー指定のマウントによってイメージボリューム定義がオーバーライドされない可能性があったバグを修正しました([#5219](https://github.com/containers/libpod/issues/5219))
- SELinuxをデフォルトで無効にするために使用されるlibpod.confのラベルオプションが考慮されないバグを修正しました(#5087)
- podman loginおよびpodman logoutコマンドにおいて、ログイン先のレジストリを指定する必要があるバグを修正しました(#5146)
- デタッチされたrootless Podmanコンテナがポートを転送できなかったバグを修正しました(#5167)
- 一時停止プロセスが終了した場合に、rootless Podmanが実行に失敗する可能性があったバグを修正しました
- Podmanで、キーのみで値なしの状態で指定されたラベルが無視されていたバグを修正しました(#3854)
- Podmanで、バッキングファイルシステムがSELinuxのラベルをサポートしていない場合に、指定されたボリュームの作成に失敗していたバグを修正しました(#5200)
- --detach-keys=''で、コンテナからのデタッチが無効化されなかったバグを修正しました(#5166)
- podman psコマンドが、コンテナをフィルターする際に過度にアグレッシブになり、
非常に多くの状況で--allを強制していたバグを修正しました
- podman play kubeコマンドで、ボリューム、作業ディレクトリ、ラベル、停止信号を含むイメージ構成が無視されていたバグを修正しました(#5174)
- podman images --format=jsonのCreatedおよびCreatedTimeフィールドが間違った名前で指定され、これにより、これらのフィールドのGoテンプレート出力が中断されていたバグを修正しました([#5110](https://github.com/containers/libpod/issues/5110))
- ポートが転送されたrootless Podmanコンテナが、起動時にハングアップする可能性があったバグを修正しました(#5182)
- podman pullが、ポート番号を含むレジストリ名の解析に失敗する可能性があったバグを修正しました
- Podmanで、コンテナの起動時に、イメージOSおよびアーキテクチャの検証が不適切に試行されていたバグを修正しました
- podman build -fのBash完了で、構築に利用可能なファイルがリストされなかったバグを修正しました(#3878)
- podman commit --changeで、不適切な検証が実行され、有効な変更内容が拒否されていたバグを修正しました(#5148)
- コンテナ用のログファイルが大きい場合に、podman logs --tailが大量のメモリを消費する可能性があったバグを修正しました(#5131 )
- firewalldを使用するシステムで、Podmanがファイアウォールルールを間違って生成することがあったバグを修正しました
- podman inspectコマンドで、コンテナが複数のCNIネットワークに参加した場合に、コンテナのネットワーク情報が適切に表示されなかったバグを修正しました([#4907](https://github.com/containers/libpod/issues/4907))
- podman createおよびpodman runに対する--utsフラグにより、完全なIDによるコンテナの指定のみが許可されていたバグを修正しました(#5289)
- rootless Podmanで、多数のファイル記述子を渡す際にセグメンテーション違反が引き起こされる可能性があったバグを修正しました
- podman portコマンドが追加引数をポート番号ではなくコンテナ名として間違って解釈していたバグを修正しました
- podman generate systemdによって作成されたユニットがネットワークターゲットに依存せず、システムネットワークの準備が整う前に開始する可能性があったバグを修正しました(#4130)
- ユーザーを指定していないコンテナのexecセッションで、次を介してコンテナに追加された補助グループが継承されなかったバグを修正しました --group-add
- Podmanで、一部の操作中(例:podman pull)に大きな一時ファイルを配置するために$TMPDIR環境変数が考慮されなかったバグを修正しました([#5411](https://github.com/containers/libpod/issues/5411))
- HTTP API
- SSHトンネリングによるサーバーへの安全な接続の初期サポートが追加されました
- コンテナ用のlibpod作成およびログのエンドポイントの初期サポートが追加されました
- APIドキュメントを提供するための/swagger/エンドポイントを追加しました
- コンテナのjsonエンドポイントが多くの修正を受けました
- イメージとコンテナのフィルタリングが大幅に改善され、多くのバグが修正されて、ドキュメントが改善されました
- イメージ作成エンドポイント(commit、pullなど)には、多くの修正が適用されています
- サーバーのタイムアウトが修正され、長い操作でもタイムアウトが発生してサーバーがシャットダウンすることはなくなりました
- コンテナのstatsエンドポイントにメジャーな修正が適用され、現在は正確な出力が提供されるようになりました
- HTTP 304ステータスコードの処理がすべてのエンドポイントで修正されました
- APIドキュメントがコードと一致するように、多くの修正が行われました
- その他
- podman images --format=jsonのCreatedフィールドが、修正の一部としてCreatedSinceに名前変更されました(#5110)。古い名前を使用するGoテンプレートは引き続き機能します
- podman images --format=jsonのCreatedTimeフィールドが、修正の一部としてCreatedAtに名前変更されました(#5110)。古い名前を使用するGoテンプレートは引き続き機能します
- podman imagesのbeforeフィルターが、Dockerの互換性のためにsinceに名前変更されました。beforeを使用しても引き続き機能しますが、新しいsinceフィルターを使用するためにドキュメントが変更されました
- podman loginに--passwordフラグを使用すると、パスワードを平文で渡すことを警告するようになりました
- Podmanがデッドロックする一般的な状況が、デッドロックを解決するためにpodman system renumberを実行する必要があることをユーザーに警告するよう修正されました
- podmanのbr_netfilterを自動的に構成します(bsc#1165738)トリガーは、コマンドの実行中にpodman-cni-configを更新した場合にのみ実行されます
conmonはv2.0.20に更新されました(bsc#1175821)
- journald:ロギングコンテナ名を修正します
- コンテナロギング:noneドライバーを実装します。「off」、「null」、「none」のすべてが機能します。
- ctrl:リンク解除に失敗した場合に警告します
- fsync呼び出しをドロップします
- exitコマンドを実行する前にPIDを取得します
- ログパス解析を修正します
- conmonがダブルフォークするのを防ぐために--syncオプションを追加します
- --no-sync-logオプションを追加して、conmonにシャットダウン時にコンテナのログを同期させないようにします。この機能は、ログ同期を無条件にドロップしていた回帰を修正します。コンテナログが、突然の電源オフで破損する可能性があります。突然のシャットダウン後にコンテナログを一貫した状態に保つ必要がある場合は、v2.0.19からv2.0.20に更新してください
- v2.0.17への更新:
- exitコマンドの実行を遅らせるためのオプションを追加します
- v2.0.16への更新:
- tty:fdの準備ができたら保留中のデータをフラッシュします
- journaldロギングのサポートを有効にします(bsc#1162432)
- v2.0.15への更新:
- pidの待機中にステータスを保存します
- v2.0.14への更新:
- splice(2)の使用をドロップします
- stdinのハングアップを回避します
- stdio:ioの終了後にメインループが終了することがあります
- sigpipeを無視します
- v2.0.12への更新
- oom:検証ステップ間の競合の可能性を修正します
- v2.0.11への更新
- log:k8s-fileで--log-tagを拒否します
- chmod stdファイルのパイプ
- conmonがOOM killされないように、スコアを-1000に調整します
- コンテナOOM:OOMをレポートする前にcgroupがクリーンアップされていないことを検証します
- ジャーナルロギング:-1の代わりに/dev/nullに書き込みます
fuse-overlayfsが1.1.2に更新されました (bsc#1175821):
- ホワイトアウトファイル作成時のメモリリークを修正します。
- オーバーフローgidと異なる場合に、オーバーフローuidの検索を修正します。
- 利用可能な場合はopenat2(2)を使用します。
- マウントオプションとして「ro」を受け入れます。
- シンボリックリンクのset mtimeを修正します。
- 静的分析により報告された一部の問題を修正します。
- 短い読み取りでの無限ループの可能性を修正します。
- 宛先が上位レイヤーにすでに存在する場合のディレクトリ作成を修正します。
- 後続のstat呼び出しに対しても、ディレクトリのリンク数を正しく報告します
- ファイルを開くことができなかった場合、下層のinoの検索を停止します
- rename(2)を行う前に、宛先が削除されていることを確認します。残りのディレクトリがEEXISTで削除を失敗させるのを防ぎます。
- --debugを遵守します。
libcontainers-commonが更新され、次が修正されました:
- %_libexecdirが/usr/libexecに変更されるのを修正します(bsc#1174075)
- containers.conf(5) manページ用のcontainers/common tarballを追加しました
- containers.confのデフォルト構成を/usr/share/containersにインストールします
- githubのlibpodリポジトリがpodmanに名前変更されました
- 画像5.5.1に更新してください
- credHelperaのドキュメントを追加します
- ルートのないポリシーパスを使用するためのデフォルトを追加します
- libpod/podmanを2.0.3に更新します
- docs:ユーザーの名前空間をポッドで共有できません
- 参照をlibpod.confからContainers.confに切り替えます
- --publishフラグの空のホストポートを許可します
- ドキュメントのログインを更新しますconfig.jsonを有効として参照します
- ストレージ1.20.2への更新
- skip_mount_homeを追加して戻します
- SLEとopenSUSEパッケージの間の残りの違いを削除し、一部のmounts.confデフォルト構成を両方のプラットフォームで出荷します。マウントポイントのソースがopenSUSEにデフォルトでは存在しないため、この構成は基本的にopenSUSEに影響を与えません。
(jsc#SLE-12122、bsc#1175821)
- 画像5.4.4に更新してください
- registries.conf VERSION 2参照をmanページから削除します
- 最初のauthfileのmanページ
- $HOME/.config/containers/certs.dをperHostCertDirPathに追加します
- $HOME/.config/containers/registries.confを構成パスに追加します
- registries.conf.d:registries.confのスタンスを追加します
- libpod 1.9.3への更新
- userns:--userns=autoをサポートします
- Dockerにより適切に一致させるために--timeoutではなく--timeの使用に切り替えます
- podman play kubeでCNIネットワークを指定するためのサポートを追加します
- manページ:不整合を修正します
- ストレージ1.19.1への更新
- userns:autoのサポートを追加します
- store:デフォルトのユーザーをコンテナに変更します
- config:XDG_CONFIG_HOMEを遵守します
- /var/lib/ca-certificates/pem/SUSE.pemの回避策を再度削除します。これはSLESで終了することはなく、根本的な問題を別の方法で修正する作業が行われています。
- registry.opensuse.orgをデフォルトレジストリとして追加します[bsc#1171578]
- /var/lib/ca-certificates/pem/SUSE.pemをSLESマウントに追加します。これは、container-suseconnectをパブリッククラウドのオンデマンドイメージで機能させるためのものです。パブリッククラウドでホストされているRMTサーバーのサーバー証明書を検証できるようにするには、そのファイルが必要です。
(https://github.com/SUSE/container-suseconnect/issues/41)
この更新はSUSEからインポートされました:SLE-15-SP1: 更新プロジェクトを更新します。
ソリューション
影響を受けるconmon/fuse-overlayfs/libcontainers-common/などのパッケージを更新します。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1162432
https://bugzilla.opensuse.org/show_bug.cgi?id=1164090
https://bugzilla.opensuse.org/show_bug.cgi?id=1165738
https://bugzilla.opensuse.org/show_bug.cgi?id=1171578
https://bugzilla.opensuse.org/show_bug.cgi?id=1174075
https://bugzilla.opensuse.org/show_bug.cgi?id=1175821
https://bugzilla.opensuse.org/show_bug.cgi?id=1175957
https://github.com//issues/7230]
https://github.com/SUSE/container-suseconnect/issues/41
https://github.com/containers/libpod/issues/4628
https://github.com/containers/libpod/issues/4907
https://github.com/containers/libpod/issues/5110
https://github.com/containers/libpod/issues/5219
https://github.com/containers/libpod/issues/5256
https://github.com/containers/libpod/issues/5411
https://github.com/containers/libpod/issues/5652
https://github.com/containers/libpod/issues/6212
https://github.com/containers/libpod/issues/6555
プラグインの詳細
深刻度: Medium
ID: 141077
ファイル名: openSUSE-2020-1559.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2020/9/30
更新日: 2024/2/16
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P
CVSS スコアのソース: CVE-2020-1726
CVSS v3
リスクファクター: Medium
基本値: 5.9
現状値: 5.2
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:conmon, p-cpe:/a:novell:opensuse:conmon-debuginfo, p-cpe:/a:novell:opensuse:fuse-overlayfs, p-cpe:/a:novell:opensuse:fuse-overlayfs-debuginfo, p-cpe:/a:novell:opensuse:fuse-overlayfs-debugsource, p-cpe:/a:novell:opensuse:libcontainers-common, p-cpe:/a:novell:opensuse:podman, p-cpe:/a:novell:opensuse:podman-cni-config, cpe:/o:novell:opensuse:15.2
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/9/28
脆弱性公開日: 2020/2/11
参照情報
CVE: CVE-2020-1726