SUSE SLES15セキュリティ更新プログラム:buildah(SUSE-SU-2020:3423-1)
high Nessus プラグイン ID 143725
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
buildah用のこの更新プログラムでは、以下の問題が修正されています:buildahがv1.17.0に更新されました(bsc#1165184):
他のツールがコンテナをマウント/アンマウントするケースを処理します
overlay.MountReadOnly:RO overlayマウントをサポートします
overlay:ルートレスのアンマウントにfusermountを使用します
overlay:umountを修正します
BuildahのデフォルトのログレベルをWarnに切り替えます。ユーザーは、これらのメッセージを確認する必要があります
OCI/Dockerフォーマットに関するエラーメッセージを警告レベルにドロップします
build(deps):github.com/containers/commonを0.26.0から0.26.2に更新します
tests/testreport:ストレージv1.23.6のAPI破損の調整
build(deps):github.com/containers/storageを1.23.5から1.23.7に更新します
build(deps):github.com/fsouza/go-dockerclientを1.6.5から1.6.6に更新します
copier:put:Typeflag = 'g'を無視します
repoファイルを入手するためにcurlを使用します( #2714の修正)
build(deps):github.com/containers/commonを0.25.0から0.26.0に更新します
build(deps):github.com/spf13/cobraを1.0.0から1.1.1に更新します
borsを使用していないため、borsを参照するドキュメントを削除します
Buildah Budはデフォルトでstdinを使用すべきではありません
containerd、docker、およびgolang.org/x/sysを更新します
Makefile:cross:windows.386ターゲットを削除します
copier.copierHandlerPut:エラーがある場合は長さをチェックしません
過剰なラッピングを停止します
CI:適合性テストに合格することを要求します
v1.1.8へのbump(github.com/openshift/imagebuilder)
tlsVerifyの安全でないBUILD_REGISTRY_SOURCESをスキップします
ビルドパスの間違ったcontainers/podman#7993を修正します
pullpolicyをリファクタリングして、depsを回避します
build(deps):github.com/containers/commonを0.24.0から0.25.0に更新します
CI:より多くのメモリを使用してタスクのゲートを実行します
ADDおよびCOPY:除外されたディレクトリに移動することもあります
copier:コンテキストをいくつかのエラーメッセージにさらに追加します
copier:エラーを早期にチェックします
copier:成功時にデバッグとしてstderr出力をログに記録します
make nixpkgsでnix pinを更新します
IDマッピングでコピーされる場合、ディレクトリの所有権を設定します
build(deps):github.com/sirupsen/logrusを1.6.0から1.7.0に更新します
build(deps):github.com/containers/commonを0.23.0から0.24.0に更新します
Cirrus:borsアーティファクトを削除します
ビルドフラグ定義をアルファベット順にソートします
ADD:適切なタイミングでのみアーカイブを展開します
borsの構成を削除します
podmanビルドフラグのシェル完了
c/commonをv0.24.0に更新します
新しいCIチェック:外部参照--helpとmanページ
CI:いくつかのlinterを再度有効にします
--userns-uid-map/--userns-gid-mapの説明をbuildah manページに移動します
add:ADDされたアーカイブの所有権と権限を保存します
Makefile:クロスコンパイルターゲットを調整します
containers/commonをv0.23.0に更新します
chroot:bindマウントターゲット0700ではなく、0755を作成します
Split()への呼び出しをより安全なSplitN()に変更します
chroot:errno seccompルールの処理を修正します
build(deps):github.com/containers/image/v5を5.5.2から5.6.0に更新します
In Progressセクションをcontributingに追加します
統合テスト:${topdir}/testsでテストが必ず実行されるようにします
Run():Containers.confの環境構成を無視します
OCI形式でヘルスチェックを設定する際に警告を出します
Cirrus:ブランチでgit-validateをスキップします
tools:git-validationを最新のコミットに更新します
tools:golangci-lintをv1.18.0に更新します
pushコマンドのいくつかのテストを追加します
Add():ContextDirがない相対パスの処理を修正します
build(deps):github.com/containers/commonを0.21.0から0.22.0に更新します
Lint:podmanと同じlinterを使用します
検証:参照HEAD
buildahマウントを修正し、idではなくコンテナ名が表示されるようにします
make nixpkgsでnix pinを更新します
manページからbuildahに欠落している--formatオプションを追加します
codespellに基づいてコードを修正します
build(deps):github.com/openshift/imagebuilderを1.1.6から1.1.7に更新します
build(deps):github.com/containers/storageを1.23.4から1.23.5に更新します
buildahの完了を改善します
Cirrus:コミットエポックの検証を修正します
マニフェストフラグのbashの完了を修正します
一部のmanページを統一します
BuildahチュートリアルをBZ1867426に対処するように更新します
manifest add subコマンドのbashの完了を更新します
copier.Get():ハードリンクターゲットは相対パスであってはなりません
build(deps):github.com/onsi/gomegaを1.10.1から1.10.2に更新します
タイムスタンプを履歴行に渡します
画像を検査するたびにタイムスタンプが更新されます
bud.bats:新しく追加されたテストで絶対パスを使用します
contrib/cirrus/lib.sh:ホスト名にCNを使用しません
tests:テストを追加します
manifest add manページを更新します
manifest addのフラグを拡張します
build(deps):github.com/containers/storageを1.23.3から1.23.4に更新します
build(deps):github.com/onsi/ginkgoを1.14.0から1.14.1に更新します
CI:クロスコンパイルのチェックを拡張します
v1.16.2に更新します:
32ビットアーキテクチャのビルドを修正します
containerImageRef.NewImageSource():常にタイムスタンプを強制するとは限りません
fuseモジュール警告をimage readmeに追加します
commit/pull/pushの再試行の際に再試行遅延オプションの値に注意します
seccompのためにcontainers/commonに切り替えます
--omit-timestampではなく--timestampを使用します
docs:期限切れの通知を削除します
docs:期限切れの通知を削除します
build-using-dockerfile:非表示の--log-rusageフラグを追加します
build(deps):github.com/containers/image/v5を5.5.1から5.5.2に更新します
ユーザーがoptions.Quietを設定した場合にReportWriterを破棄します
build(deps):github.com/containers/commonを0.19.0から0.20.3に更新します
COPY --fromを使用してコピーされたコンテンツの所有権を修正します
newTarDigester:tarヘッダーのタイムスタンプをゼロにします
「make nixpkgs」でnix pinを更新します
bud.bats:.dockerignore統合テストを修正します
コピーにパイプを使用します
run:エラーメッセージにstdoutを含めます
run:error.Wrapfに正しいエラーを使用します
copier:内部タイプをアンエクスポートします
copier:Mkdir()を追加します
in_podman:$CIRRUS_CHANGE_TITLEにつまずかないでください
docs/buildah-commit.md:一部の文言を微調整し、 --rmを追加します例
imagebuildah:COPYing時に宛先名を空白にしません
関数の再試行をcommon/pkg/retryに置き換えます
StageExecutor.historyMatches:.Equalを使用してタイムスタンプを比較します
containers/commonのベンダーを更新します
coverityスキャンで見つかったエラーを修正します
podmanコマンドにより一致させるために、名前空間処理フラグを変更します
適合性テスト:buildah.BuilderIdentityAnnotationラベルを無視します
containers/storage v1.23.0のベンダー
buildah.IsContainerインターフェイスを追加します
run_buildahがパイプに供給されないようにします
fix(buildahimage):buildahイメージにxz依存関係を追加します
github.com/containers/commonを次のように更新します: 0.15.2から0.18.0
OpenShiftからのルートレスイメージのビルド方法
buildah budに--omit-timestampフラグを追加します
「make nixpkgs」でnix pinを更新します
失敗時にストレージをシャットダウンします
引数が使用されるときにCOPY --fromを処理します
github.com/seccomp/containers-golangを0.5.0から0.6.0に更新します
Cirrus:新しくビルドされたVMイメージを使用します
github.com/opencontainers/runcを1.0.0-rc91から1.0.0-rc92に更新します
.dockerignore manページを強化します
conformance:サブディレクトリからのCOPYのテストを追加します
バグマニフェスト検査を修正します
.dockerignoreのドキュメントを追加します
BuilderIdentityAnnotationを追加して、buildahバージョンを識別します
DOC:quay.io/containers/buildahイメージをREADME.mdに追加します
buildahimages readmeを更新します
「info」コマンドの結果表示の誤字を修正します
ネットワークが存在しない場合、/etc/hostと/etc/resolv.confをバインドしません
blobcache:不要なNewImage()を回避します
「buildGoModule」で静的バイナリを構築します
copier:stripSetidBitsを StripSetuidBit/StripSetgidBit/StripStickyBitに分割します
tarFilterer:複数のアーカイブを処理します
適合性テスト中に発生する競合を修正します
適合性テストを修正します
02-registries-repositories.mdを更新します
test-unit:cmd/buildahテストを--flagsで呼び出します
parse:テストでの型の不一致を修正します
tests/testreport/testreportのコンパイルを修正します
build.sh:使用しているGoのバージョンをログに記録します
test-unit:テストのタイムアウトを40/45分に増やします
「copier」パッケージを追加します
コードベースの問題のある言語に関する修正および注記の追加
github.com/stretchr/testify/requireに依存関係を追加します
CompositeDigester:tarストリームをフィルタリングする機能を追加します
BATS tests:堅牢性を強化します
ベンダーgolang.org/x/[email protected]
golang 1.12をgolang 1.13に切り替えます
imagebuildah:まだ開始していない可能性があるステージを待機します
chroot、run:/sysからのバインドマウントで失敗しません
chroot:ブロックされている場合は、setgroupsを使用しません
containers.confからエンジン環境を設定します
imagebuildah:適切なステージの画像を「最終」画像として返します
ヘルプ文字列を修正します
環境変数の重複を排除します
containers/libpodをcontainers/podmanに切り替えます
github.com/containers/ocicryptを1.0.2から1.0.3に更新します
github.com/opencontainers/selinuxを1.5.2から1.6.0に更新します
/sys/devをマスクして情報漏洩を防止します
linux:ランタイムのkillからのエラーをスキップします
マスクブランチの/sys/fs/selinuxでマスクします
コンテナにVFSのイメージストアを追加します
tests:認証テストを追加します
マウントオプションで「ro」に対するエイリアスとして「readonly」を許可します
OS Xに固有の一貫性マウントオプションを無視します
github.com/onsi/ginkgoを1.13.0から1.14.0に更新します
github.com/containers/commonを0.14.0から0.15.2に更新します
Rootless Buildahは、デフォルトでIsolationOCIRootlessにする必要があります
imagebuildah:マルチステージビルドの継承を修正します
imagebuildah.BuildOptions.Architecture/OSをオプションにします
imagebuildah.BuildOptions.Jobsをオプションにします
imagebuildah.Executor.startStage()で起こり得る競合を解決します
スクリプトを切り替えて、containers.confを使用します
openshift/imagebuilderをv1.1.6に更新します
go.etcd.io/bboltを1.3.4から1.3.5に更新します
buildah、bud:並列実行の--jobs= Nをサポートします
executor:新しい関数内のビルドコードをリファクタリングします
bud回帰テストを追加します
Cirrus:レジストリイメージでのhtpasswdの欠落を修正します
docs:「triples」フォーマットを明確化します
CHANGELOG.md:markdownフォーマットを修正します
静的ビルド用のnix派生を追加します
v1.16.0-devに更新します
v1.15.1に更新します
マスクブランチの/sys/fs/selinuxでマスクします
chroot:ブロックされている場合は、setgroupsを使用しません
chroot、run:/sysからのバインドマウントで失敗しません
マウントオプションで「ro」に対するエイリアスとして「readonly」を許可します
コンテナにVFSのイメージストアを追加します
ベンダーgolang.org/x/[email protected]
imagebuildah.BuildOptions.Architecture/OSをオプションにします
v1.15.0に更新します:
CHANGELOG.mdおよびchangelog.txtにCVE-2020-10696を追加します
lighttpdの例を修正します
openshift構造体の依存関係を削除します
未設定のビルド引数に関する警告
vendor:seccomp/containers-golangをv0.4.1に更新します
docsを更新しました
コメントをクリーンアップします
テストの終了コードを更新します
暗号化のコミットを実装します
encrypt/decrypt push/pull/bud/fromの実装
dockerイメージ名のトランスポートとしての解決を修正します
予備的なプロファイリングサポートをCLIに追加します
ビルドのコンテキストディレクトリのシンボリックリンクを評価します
containerImageSourceの署名の取得に関するエラー情報を修正します
セキュリティポリシーを追加します
Cirrus:レビューフィードバックからの修正
imagebuildah:ステージはベースイメージとしてカウントすべきではありません
containers/common v0.10.0を更新します
buildahimage Dockerfileにレジストリを追加します
Cirrus:事前にインストールされているVMパッケージ+ F32を使用します
Cirrus:すべてのdistroバージョンを再度有効にします
Cirrus:F31に更新し、キャッシュイメージを使用します
golangci-lint:gosimpleを無効にします
golangci-lintスレッドの数を減らします
containers.confに対する権限を修正します
テストにruncを使用するように強制しません
失敗したコンテナからの終了コードを返します
cgroup_managerは[engine]の下にある必要があります
login/logoutでc/common/pkg/authを使用します
Cirrus:Ubuntu 19のテストを一時的に無効にします
containers.confをstablebyhandビルドに追加します
gitignoreを更新して、Dockerfileのテストを除外します
コンテナ内のsystemdに対する警告を削除します
v1.14.6に更新します:
新しい引数処理で画像履歴が正しく機能するようにします
ビルダーからRUN環境に引数を追加しません
v1.14.5に更新します:
FIPSモード変更を戻します
v1.14.4に更新します:
unshare manページを更新して、スクリプト例を修正します
linux以外のプラットフォームのコンパイルエラーを修正します
後続のコマンドでボリュームのuidとgidを保持します
シンボリックリンク付きtarfileの潜在的なCVEを修正します
globsコマンドおよび !コマンドで.dockerignoreを修正します
v1.14.2に更新します:
containers.confの値ごとにローカルランタイムを検索します
作業ディレクトリに適切な所有権を設定します
リモートのマニフェスト取得を改善します
いくつかの不適切な書式指定子を修正します
manifest push --format:リストタイプではなく画像タイプを強制します
run:$に要素を追加する順序を調整します
getDateAndDigestAndSize():設定されていない作成時間を処理します
Dockerのようにコミットidを明確にします
ビルドでコンテキストディレクトリの上にコピーされたファイルのエラーを表示します
pull/from/commit/push:ほとんどの失敗で再試行します
buildahを修正して、サーバー側でcontainers.confを使用できるようにします
フォーマットとビルドの命令の修正
authfile用のXDG_RUNTIME_DIRを修正します
検証コマンドラインを表示します
v1.14.0に更新します:
getDateAndDigestAndSize():manifest.Digestを使用します
os/arch docを修正します
chroot:わずかに破損したseccompのデフォルトを処理します
buildahimage:fuse-overlayfsマウントオプションを指定します
parse:名前をそれ自体に変更できないことについて苦情を表示しません
32ビットプラットフォーム用のビルドを修正します
ユーザーがbudでOSおよびアーキテクチャを設定できるようにします
envvarでcontainerfileのCOPYを修正します
--sign-byをbud/commit/push(pull/pushの--remove-signatures)に追加します
containers.confのサポートを追加します
manifest push:--formatオプションを追加します
v1.13.1に更新します:
copyFileWithTar:適切なタイミングでソースファイルを閉じます
copy:無視するファイルをダイジェストにしません
.dockerignoreを明確にチェックします
一致するパターンが1つのみである場合は、除外を設定しません
デフォルトでchroot-isolationのHOME envを/rootに設定します
docs:containers-*.5への参照を修正します
Add check .dockerignore COPY fileのバグを修正します
buildah bud --volume:ソースdirではなくtmpdirから実行します
buildah-fromで一貫した名前を付けるためにimageNamePrefixを修正します
cpp:- traditionalおよび-undefフラグを使用します
buildah-from --quietのonbuildコマンドからの出力を破棄します
--formatの列化をbuildahイメージと一致させます
ビルドのボリュームに対するオプションの処理を修正します
libpodで使用するためにoverlayパッケージを修正します
buildahのbuildahimageビルドを修正します
FIPSモードのバックエンドのサポートを追加します
画像の$TMPDIRへのプル/プッシュを行うためのTMPDIRを設定します
v1.12.0に更新します:
ADDがhttp srcを使用できるようにします
imgtype:ドライバーがオーバーライドされた場合にストレージオプションをリセットします
containers/commonの使用を開始します
overlay.batsの誤字:fuse-overlaysはfuse-overlayfsである必要があります
chroot:UnmountMountpoints()の代わりにMNT_DETACHでアンマウントします
bind:マウントポイントの欠如について苦情を表示しません
imgtype:予想されるマニフェストタイプを早期にチェックします
履歴名サポートを追加します
v1.11.6に更新します:
COPY/ADDの--fromフラグと--chownフラグの欠落した等号を処理します
bud COPYがURLをダウンロードしません
.dockerignore除外回帰を修正します
commit(docker):ContainerIDとContainerConfigを常に設定します
コミットmanページ画像パラメーターを修正します
ビルダーID注釈を追加します。
v1.11.5に更新します:
buildah:「manifest」コマンドを追加します
pkg/supplemented:画像をグループ化するパッケージを追加します
pkg/manifests:マニフェストリストのビルド/操作APIを追加します
containers/imageのErrUnauthorizedForCredentials APIの変更のために更新します
containers/imageのmanifest-lists APIの変更を更新します
version:containers/imageのバージョンも記録します
containers/image v5.0.0に移動します
--deviceディレクトリをsrcデバイスとして有効にします
新規ユーザー向けのチュートリアルに説明を追加します
-qを完全にquietにするために「using cache」を抑制します
ランタイムフラグをcommonからbudに移動します
Commit:errors.Cause()を使用してstorage.ErrImageUnknownをチェックします
無効なCOPY --fromフラグが指定されたときのクラッシュを修正します。
v1.11.4に更新します:
buildah:「manifest」コマンドを追加します
pkg/manifests:マニフェストリストのビルド/操作APIを追加します
containers/imageのErrUnauthorizedForCredentials APIの変更のために更新します
containers/imageのmanifest-lists APIの変更を更新します
containers/image v5.0.0に移動します
--deviceディレクトリをsrcデバイスとして有効にします
新規ユーザー向けのチュートリアルに説明を追加します
-qを完全にquietにするために「using cache」を抑制します
ランタイムフラグをcommonからbudに移動します
Commit:errors.Cause()を使用してstorage.ErrImageUnknownをチェックします
無効なCOPY --fromフラグが指定されたときのクラッシュを修正します。
v1.11.3に更新します:
cgroups2を追加します
stdin「-」からコンテキストを取得するためのサポートを追加します
Buildahをライブラリとして含める方法に関するチュートリアルを追加しました
--build-argsの処理を修正します
ビルドの「STEP」行をstderrではなくstdoutに出力します
デフォルトでContainerfileを使用します
v1.11.2に更新します:
クリーンアップコードを追加します
デバイスコードをユニット固有のディレクトリに移動します。
v1.11.1に更新します:
budとの間で--devicesフラグを追加します
/run/.containerenvのサポートを追加します
ソースパスと宛先パスが等しい場合にmounts.confエントリを許可します
1行のDockerfileのラベルと注釈を修正します
ファイルとディレクトリのマウント権限を保持します
--debug=falseを--log-level=errorに置き換えます
デフォルトでTMPDIRを/var/tmpに設定します
長すぎる画像名の出力を切り捨てます
Squashが設定されている場合、EmptyLayerを無視します
v1.11.0に更新します:
--digestfileを追加し、デバッグとしてプッシュステートメントを再追加します
--log-levelコマンドラインオプションを追加し、--debugを廃止します
セキュリティ関連のボリュームオプションをバリデーターに追加します
buildah budを引数なしで呼び出すことを許可します
SOURCE_DATE_EPOCHでビルド日付のオーバーライドを可能にします
Run()からExitError値を正しく検出します
空のlogrusタイムスタンプを無効にしてロガーのノイズを減らします
ディレクトリのプル画像名を修正します
/dev/nullでマスクされたデバイスの処理を修正します
budの潜在的なランタイムパニックを修正します
--dns=noneのインジケーターを含めるためにbud/fromヘルプを更新します
budに関するドキュメンテーションを更新します
envを考慮に入れるために、shebangsを更新します
ADD/COPY履歴エントリでコンテンツダイジェストを使用します
cgroupsV2のサポートを追加します
add:AddAndCopyOptionsにDryRunフラグを追加します
add:.dockerignoreでコピーするときにハードリンクを処理します
add:シンボリックリンクとディレクトリについてcopyFileWithTar()を教示します
imagebuilder:参照されたステージルートの検出を修正します
pull/commit/push:$BUILD_REGISTRY_SOURCESに注意を払います
run_linux:usernsでの /sysのマウントを修正します
v1.10.1に更新します:
自動apparmorタグ検出を追加します
overlayfsをfuse-overlayfsヒントに追加します
ボリュームマイナス構文のバグ修正
container/storage v1.13.1とcontainers/image v3.0.1を更新します
containers/imageをv3.0.2に更新し、キーリングの問題を修正します
--get-loginの効果がないバグを修正します
github.com/containernetworking/cniをv0.7.1に更新します
appamorパターンの要件を追加します
ビルドプロセスを更新し、最新のリポジトリアーキテクチャに一致させます
v1.10.0に更新します
ベンダーgithub.com/containers/[email protected]
-mod=vendorのためにGO111MODULEを削除します
containers/storage v1.12.16のベンダー
構成値の削除用に「-」マイナス構文を追加します
tests:ルートレスのオーバーレイテストを有効にします
rootless、overlay:fuse-overlayfsを使用します
ベンダーgithub.com/containers/[email protected]
ボリューム構成オプションを削除するために「-」構文を追加しました
プッシュに成功したメッセージを削除します
golint linterを追加し、修正を適用します
ベンダーgithub.com/containers/[email protected]
buildahimage readmeでスリープの待機を変更します
画像を削除する際にReadOnly画像を処理します
読み取り専用画像のリスト表示のサポートを追加します
from/import:ベース画像のダイジェストがある場合は、それを記録します
ネットワーク接続を必要としないようにCNIバージョンの取得を修正します
misspell linterを追加し、修正を適用します
goimports linterを追加し、修正を適用します
stylecheck linterを追加し、修正を適用します
unconvert linterを追加し、修正を適用します
image:zstd圧縮の使用を試行しないようにします
run.bats:--mountのテスト時に「z」フラグをスキップします
runc v1.0.0-rc8に更新します
更新済みのruntime-tools APIに一致するように更新します
github.com/opencontainers/runtime-toolsをv0.9.0に更新します
適切なビルドタグを使用してe2eテストを構築します
unparam linterを追加し、修正を適用します
Run:--cap-addヘルプテキストの誤字を修正します
unshare:--mountフラグを追加します
プッシュチェックの画像名が空でない問題を修正します
add:除外なしの遅いコピーを修正します
errcheck linterを追加し、欠落したエラーチェックを修正します
tests/tools/Makefileの並列化と抽象化を改善します
リソース漏洩を閉じていない応答本体を修正します
golangci-lintに切り替えます
gomodの指示とメーリングリストのリンクを追加します
マスクされるパスで、マウントする前に/dev/nullがすでにマウントされているかどうかをチェックします
containers/storage v1.12.13に更新します
パッケージimagebuildahのコードをリファクタリングします
ドキュメントにNFSの問題があるrootless podmanを追加します
buildah runに--mountを追加します
libpodからValidateVolumeOptsメソッドをインポートします
誤字を修正します
Makefile:GO111MODULE=offを設定します
rootless:作り込みのslirp DNSサーバーを追加します
docker/libnetworkを更新し、期限切れのsctpパッケージを削除します
buildah-login.mdを更新します
goモジュールに移行します
install.md:goモジュールに言及します
tests/tools:テストバイナリ用のgoモジュール
--volumeがカンマ区切りオプションを分割する問題を修正します
特権コマンドによるRUNのbudテストを追加します
ベンダーlogrus v1.4.2
pkg/cli:フラグを非表示にできない場合のパニック
pkg/unshare:すべてのエラーをチェックします
pull:レポート書き込み中のエラーをチェックします
run_linux.go:チェックされないエラーを無視します
適合性テスト:コピーエラーをキャッチします
chroot/run_test.go:実際に実行されるように関数をエクスポートします
tests/imgtype:ストアをシャットダウンする際のエラーを無視します
testreport:jsonエラーをチェックします
bind/util.go:未使用の関数を削除します
rm chroot/util.go
imagebuildah:未使用のdedupeStringSliceを削除します
StageExecutor:EnforcementContainerPath:SecureJoin()からのエラーをキャッチします
imagebuildah/build.go:分岐する代わりに返します
rmi:冗長な分岐を回避します
適合性テスト:nilness:マップを割り当てます
imagebuildah/build.go:冗長なfilepath.Join()を回避します
imagebuildah/build.go:冗長なos.Stat()を回避します
imagebuildah:boolとの比較を省略します
「ineffectual assignment」lintエラーを修正します
docker:「repeats json tag」lintエラーを無視します
pkg/unshare:スライスを繰り返す代わりに...を使用します
conformance:budテスト:正規表現に未加工の文字列を使用します
適合性パッケージ:未使用の関数/変数を削除します
buildahテストパッケージ:未使用の変数/関数を削除します
testreport:golangci-lintエラーを修正します
util:冗長な戻りステートメントを削除します
chroot:クリーンアップエラーのみをログに記録します
images_test:golangci-lintエラーを無視します
blobcache:パイプのドレイン時のエラーをログに記録します
imagebuildah:遅延呼び出しのエラーをチェックします
chroot:遅延関数の処理のエラーを修正します
cmd:すべてのエラーをチェックします
chroot/run_test.go:エラーをチェックします
chroot/run.go:遅延呼び出しのエラーをチェックします
imagebuildah.Executor:未使用のonbuildフィールドを削除します
docker/types.go:未使用のstructフィールドを削除します
util:インデックスチェックの代わりにstrings.ContainsRuneを使用します。
Cirrus:初期実装
buildah-run:fix-out-of-rangeパニック(2)
containers/imageをv2.0.0に更新します
run:runおよび--isolation=chrootによるハングアップを修正します
run:runの使用時のハングアップを修正します
chroot:未使用の関数呼び出しをドロップします
ビルドのimgageIDの前の->を削除します
stdinパイプを常に閉じます
単一ユーザーのマッピングを行う際に、setgroupsにdenyを書き込みます
linux/memfd.hが含まれないようにします
ディレクトリを指し示すシンボリックリンクのテストを追加します
欠落したcontinueを追加します
絶対パスへのシンボリックリンクの処理を修正します
ルートレスではない場合にのみデフォルトのネットワークsysctlを設定します
podmanと同様に--dns=noneをサポートします
バグ--cpu-sharesの解析の誤字を修正します
苦情の検証を修正します
containers/storageのベンダーをv1.12.10に更新します
COPYのディレクトリパスを作成し、適切な権限を確保します
imagebuildah:ビルド引数の比較に安定したソートを使用します
imagebuildah:キャッシュチェックを強化します
bud.bats:--build-argsの順序を検証するテストを追加します。
podman runに-tを追加します
imagebuildah:トップレイヤーによるスクリーニングを簡素化します
imagebuildah:COPY --fromのIDマッピングを処理します
imagebuildah:additionalTagsを自身で適用します
bud.bats:キャッシュされた画像で追加のタグをテストします
bud.bats:絶対宛先を指定したWORKDIRおよびCOPYのテストを追加します
Overlayマウントのコンテンツをクリーンアップします
ファイルシークレットマウントのサポートを追加します
マウントファイルのシークレットをスキップする機能を追加します
32ビットビルドを可能にします
チュートリアルの指示を修正します
imagebuilder:正しいcontextDirをAdd()に渡します
add:.dockerignoreに対してfileutils.PatternMatcherを使用します
bud.bats:別の.dockerignoreテストを追加します
unshare:単一ユーザーマッピングにフォールバックします
addHelperSymlink:os.IsExistエラー時に宛先をクリアします
bud.bats:シンボリックリンクの置換をテストします
imagebuildah:「/」で終わる宛先の処理を修正します
bud.bats:宛先の末尾の「/」を使用してCOPYをテストします
linux:使用する前のsysctlのチェックを追加します
unshare:_CONTAINERS_ROOTLESS_GIDを設定します
buildahimamgesを修正します
コンテキストの構築:https gitリポジトリをサポートします
ENVの特殊文字の動作に対するテストを追加します
新しいDockerfileをチェックインします
ビルドタイム中にカスタムSHELLを適用します
config:コマンドラインでのみ変数を展開します
SetEnv:vの展開は1回のみ必要です
chroot isoで空の場合にデフォルトの/rootを追加します
Overlayボリュームに対するサポートをコンテナに追加します。
buildah検証ボリューム関数をエクスポートし、libpodとコードを共有できるようにします
ベースラインテストをF30に更新します
/dev/shmサイズのルートのない処理を修正します
ライブラリでfmt.Printf()を回避します
imagebuildah:バックアップのキャッシュチェックを強化します
ダングリングターゲットでWORKDIRを処理します
Authfileを適切なパスにデフォルト設定します
buildah run --isolationがBUILDAH_ISOLATION環境に従うようにします
最新のcontainers/storageおよびcontainers/imageのベンダー
getParent/getChildren:レイヤーレス画像を処理します
imagebuildah:レイヤーレス画像のキャッシュ画像を認識します
bud.bats:--layersキャッシングでスクラッチイメージをテストします
CHANGELOG.md更新を取得します
シンボリックリンクを追加して、.dockerignoreロジックをテストします
imagebuildah:addHelper:シンボリックリンクを処理します
commit/push:すべて許可されたポリシーを使用します
ファイルセクションのmanページフォーマットを修正します
buildah docからmust be root文を削除します
イメージの名前をstable、testing、およびupstreamに変更します
コンテナにディレクトリを作成しません
テストでkubernetes/pauseをk8s.gcr.io/pauseに置き換えます
imagebuildah:必要な場合に中間画像を削除しません
buildahimagegitをbuildahimageupstreamに修正します
一時的マウントを修正します
シンボリックリンクであるWORKDIRを処理します
podmanがWindows用のクライアントを構築できるようにします
1.9-devを1.9.0-devに修正します
コンテナパスをチェックする際にシンボリックリンクを解決します
commit:すべての命令でコミットしますが、レイヤーでは例外もあります
CommitOptions:未使用のOnBuildフィールドをドロップします
makeImageRef:CommitOptions構造体全体を渡します
cmd:APIクリーンアップ:画像の前に保存します
run:SELinuxが有効化されているかどうをチェックします
ホストからマウントされるadditionalimagesのサポートを含むようにbuildahimages Dockerfileを修正します。
rootdirの変更を検出します
buildah-pull(1)の誤字を修正します
最新のコンテナ/ストレージのベンダー
buildah bud --layers時に使用されるbuild-argsを追跡します
commit:常に親IDを設定します
imagebuildah:未使用引数の検出を修正します
COPY .dockerignore時の宛先パスのバグを修正します
ホストIDMAppingsコードをutilから非共有に移動します
ルートレスのBUILDAH_ISOLATIONを追加して戻します
Travis CI:いずれかのステップでエラーが発生したときにすぐに失敗させます
imagebuildah:必要な場合に中間段階の画像のみをコミットします
IsNotExistエラーをチェックする際にerrors.Cause()を使用します
http_proxyをコンテナに自動で渡します
imagebuildah:画像構造体を漏洩しません
buildahimages用のDockerfileを追加します
golang 1.10を1.12に置き換えるために更新します
--dns*フラグをbuildah budに追加します
コンテナイメージのビルド時にhack/build_speed.shテスト速度を追加します
Quay用のbuildahimage Dockerfileを作成します
「is」を「expect_output」に名前変更します
squash.bats:マルチレイヤービルドでの縮小をテストします
bud.bats:キャッシュの使用中にDockerfileでCOPY --fromをテストします
commit:ターゲットの画像名をオプションにします
カンマ区切りを許可するようにbud-argsを修正します
oops、commit.batsでの一部のテストの欠落
新しいヘルパー:expect_line_count
#1467の新しいテスト(cmdline optsの文字列スライス)
travisを扱うための回避策。レビューフィードバック
BATSテスト - 広範だがマイナーなクリーンアップ
imagebuildah:COPY --fromの画像のプルを遅延させます
imagebuildah:COMMITおよび画像IDの出力を一元化します
Travis:traviswaitを使用しません
imagebuildah:imagebuilder構成をステージごとに1回のみ初期化します
Dockerfileビルドエラーでよりクリーンなエラーを作成します
unshare:pkg/に移動させます
unshare:cmd/buildah/unshareから一部のコードを移動します
スライスと配列の処理を修正します
imagebuildah:ステージおよびステージごとのロジックを再編成します
imagebuildah:命令用の空のレイヤーを追加します
Ubuntuへのインストールで欠落している手順を追加します
.dockerignoreサポートのバグを修正します
imagebuildah:先頭に追加された「FROM」命令の重複を排除します
introを修正します
commit:created-byが設定されていない場合に、これをシェルに設定します
commit:「created-by」を常に設定していることをチェックします
docs/buildah.md:「SEE ALSO」の下に「containers-」プレフィックスを追加します
v1.7.2への更新
ベンダー提供のcontainers/storageを最新バージョンに更新します
rootless:デフォルトでホストネットワーク名前空間を使用します
全変更ログ:
https://github.com/containers/buildah/releases/tag/v1.6
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Linux Enterprise Module for Containers 15-SP2:
zypper in -t patch SUSE-SLE-Module-Containers-15-SP2-2020-3423=1
SUSE Linux Enterprise Module for Containers 15-SP1:
zypper in -t patch SUSE-SLE-Module-Containers-15-SP1-2020-3423=1
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1165184
https://bugzilla.suse.com/show_bug.cgi?id=1167864
https://github.com/containers/buildah/releases/tag/v1.6
https://www.suse.com/security/cve/CVE-2019-10214/
プラグインの詳細
深刻度: High
ID: 143725
ファイル名: suse_SU-2020-3423-1.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2020/12/9
更新日: 2024/2/5
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 7.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2020-10696
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:buildah, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2020/11/19
脆弱性公開日: 2019/11/25
参照情報
CVE: CVE-2019-10214, CVE-2020-10696