検出

SUSE SLES15セキュリティ更新プログラム:podman(SUSE-SU-2020:3378-1)

medium Nessus プラグイン ID 143753

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

podman用のこの更新プログラムでは、以下の問題が修正されています:

修正されたセキュリティ問題:

このリリースでは、Varlink APIを使用して作成されたコンテナ間で環境変数が漏洩する可能性がある CVE-2020-14370を解決します( bsc#1176804)。

セキュリティ以外の修正された問題:

timezoneパッケージに依存関係を追加しない場合、podmanによるコンテナのビルドが失敗します(bsc#1178122)

新しい自動更新システムユニットをインストールします

v2.1.1への更新(bsc#1178392):

 - 変更

 -「podman info」コマンドに、Podmanが使用しているcgroupマネージャーが含まれるようになりました。

 - API

 - REST APIのすべての応答にServerヘッダーが含まれるようになりました。

 - LibpodおよびCompat Attachエンドポイントが、コンテナからすべての出力を送信する前に、早期に終了する可能性があるバグを修正しました。

 - コンテナのCompat Createエンドポイントがインタラクティブパラメーターを適切に処理しないバグを修正しました。

 - コンテナのCompat Killエンドポイントが致命的なエラーの後に実行し続ける可能性があるバグを修正しました。

 - コンテナのCompat ListエンドポイントのLimitパラメーターが適切に0の制限を処理しないバグを修正しました(すべてのコンテナを返さず、何も返さない)[#7722]。

 - コンテナ用のLibpod Statsエンドポイントは廃止予定であり、今後のリリースでは、追加機能のある同様のエンドポイントに置き換えられます。

v2.1.0での変更

 - 機能

 - 新しいコマンド「podman image mount」が追加されました。
 これにより、画像からコンテナを作成せずに、画像のマウント、読み取り専用化、内容の検査を行うことができます[#1433]。

 -「podman save」および「podman load」コマンドが、複数の画像を含むアーカイブを作成およびロードできるようになりました[#2669]。

 - Rootless Podmanがすべての「podman network」コマンドをサポートするようになり、rootlessコンテナをネットワークに追加できるようになりました。

 -「ADD」および「COPY」命令での「podman build」のパフォーマンスが、特に「.dockerignore」が存在する場合に、大幅に改善されました。

 - 「podman run」コマンドと「podman create」コマンドで、「--cgroups」オプションの新しいモード「--cgroups=split」がサポートされるようになりました。Podmanは、コンテナ用とConmon用の2つのcgroupを起動したcgroupで作成します。このモードは、すべてのプロセスがsystemdのcgroup階層[に確実に保持されるため、systemdユニットでPodmanを実行するのに便利です[#6400]。

 -「podman run」コマンドと「podman create」コマンドが、「--network」オプションを使用して、slirp4netnsに次のようにオプションを指定できるようになりました:

「--net slirp4netns: opt1、opt2」。これにより、特に、

slirp4netnsが使用するポートフォワーダーをrootlessportから切り替えることが可能になります。

 -「podman ps」コマンドに、Buildah、CRI-O、およびその他のアプリケーションのコンテナを表示するための新しいオプション「--storage」が追加されました。

 -「podman run」コマンドと「podman create」コマンドに、コンテナでsystemdのsdnotifyの動作を制御するための「--sdnotify 」オプションが追加されました。これにより、「Type=notify」ユニットでのPodmanに対するサポートの改善が可能になります。

 -「podman run」コマンドに、ホストからコンテナにファイル記述子を渡す「--preserve-fds」オプションが追加されました

[#6458]。

 -「podman run」コマンドと「podman create」コマンドがoverlayボリュームマウントを作成できるようになりました(そのために「: O」オプションをバインドマウントに追加して、Overlayボリュームマウントを作成できるようになりました

(例:-v /test: /test: O)。Overlayボリュームマウントは、

ホストからコンテナにディレクトリをマウントし、その変更を許可しますが、

変更をホスト上のディレクトリに書き戻すことはできません。

 -「podman play kube」コマンドがSocket HostPathタイプをサポートするようになりました[#7112]。

 -「podman play kube」コマンドが、読み取り専用のマウントをサポートするようになりました。

 -「podman play kube」コマンドが、Kubernetesメタデータラベルからのポッドへのラベルの設定をサポートするようになりました。

 -「podman play kube」コマンドが、コンテナ再起動ポリシーの設定をサポートするようになりました[#7656]。

 -「podman play kube」コマンドが「HostAlias」エントリを適切に処理するようになりました。

 -「podman generate kube」コマンドが、「--host-add」によって「HostAlias」エントリとして生成されたYAMLから「/etc/hosts」にエントリを追加するようになりました。

 -「podman play kube」コマンドと「podman generate kube」コマンドが、「shareProcessNamespace」を適切にサポートし、ポッド内のPID名前空間を共有するようになりました。

 -「podman volume ls」コマンドが「dangling」フィルターをサポートし、(コンテナに添付されていない)ダングリングしているボリュームを特定するようになりました。

 -「podman run」コマンドと「podman create」コマンドに、作成されたコンテナのumaskを設定するための「--umask」オプションが追加されました。

 -「podman create」コマンドと「`podman run」コマンドに、コンテナ内にタイムゾーンを設定するための「--tz」オプションが追加されました[#5128]。

 - Podmanの環境変数を「containers.conf」構成ファイルに追加できるようになりました。

 -「podman run」および「podman create」の「--mount 」オプションが、コンテナに「devpts」マウントを追加するための新しいマウントタイプ「type=devpts」をサポートするようになりました。これは、ホストからコンテナに「/ dev /」をマウントしながらターミナルを作成するコンテナの場合に役立ちます。

 -「podman run」および「podman create」に対する「--security-opt 」フラグが、コンテナの「/proc」ファイルシステムのオプションを指定するための新しいオプション「proc-opts」をサポートするようになりました。

 -「crun」OCIランタイムを備えたPodmanが、「podman run」および「podman create」の新しいオプション「--cgroup-conf」をサポートするようになりました。これにより、cgroups v2システムでのcgroupsの高度な構成が可能になります。

 -「podman create」コマンドと「podman run」コマンドが、プルされて実行される画像のアーキテクチャのバリアントをオーバーライドするための「--override-variant」オプションをサポートするようになりました。

 - 新しいグローバルオプション「 --runtime-flags」がPodmanに追加されました。これにより、OCIランタイムが呼び出される際に使用するフラグを設定できます。

 -「podman manifest add」コマンドが、オプション「--cert-dir」、「--auth-file」、「--creds」、および「--tls-verify」をサポートするようになりました。

 - セキュリティ

 - このリリースでは、Varlink APIを使用して作成されたコンテナ間で環境変数が漏洩する可能性がある CVE-2020-14370を解決します。

 - 変更

 - ネットワークエラーのためにプルが失敗した場合、Podmanが画像のプルを3回再試行するようになりました。

 - 以前、「podman exec」コマンドは、コマンド実行が0以外の終了コードで終了した場合、エラーメッセージを出力していました(例:「exec session exited with non-zero exit code

 -1(ゼロ以外の終了コード-1でexecセッションが終了しました)」)。
 これは

行われなくなりました。ただし、「podman exec」コマンドは、

コンテナで実行されたコマンドが実行したのと同じ終了コードで終了します。

 - すでに使用されている名前のコンテナまたはポッドを作成する際のエラーメッセージが改善されました。

 - systemd initを実行している読み取り専用コンテナの場合、Podmanは「/run」にtmpfsファイルシステムを作成します。これは以前はサイズが65kに制限され、「noexec」がマウントされていましたが、現在は無制限サイズになり、「exec」がマウントされています。

 -「podman system reset」コマンドが、ルートのないPodmanの構成ファイルを削除しなくなりました。

 - API

 - Libpod APIバージョンは、Image List APIの最新の変更により、v2.0.0に更新されました。

 - Docker互換のボリュームエンドポイント(Create、Inspect、List、Remove、Prune)が利用可能になりました!

 - コンテナ用のsystemdユニットファイルを生成するためのエンドポイントを追加しました。

 - Libpodコンテナリストエンドポイントに対する「last」パラメーターにエイリアス「limit」が設定されました[#6413]。

 - Libpod画像リストAPIが、タイムスタンプを文字列ではなく整数としてUnix形式で返すようになりました

 - コンテナのCompat Inspectエンドポイントに、NetworkSettingsのポート情報が含まれるようになりました。

 - 画像のCompat Listエンドポイントが、(廃止予定の)「filter」クエリパラメーターに対する限定的なサポートを提供するようになりました[#6797]。

 - コンテナのCompat Createエンドポイントがバインドマウントを適切に処理しないバグを修正しました。

 - コンテナのCompat Createエンドポイントが、リクエストされた画像が存在しない場合に404を返さないバグを修正しました。

 - コンテナのCompat Createエンドポイントが画像からのエントリポイントとコマンドを適切に処理しないバグを修正しました。

 - 名前履歴情報がLibpod Image Listエンドポイントに適切に追加されないバグを修正しました。

 - Libpodの画像検索エンドポイントが応答の説明フィールドに不適切に入力するバグを修正しました。

 - Libpodの画像検索エンドポイントに「noTrunc」オプションを追加しました。

 - ポッドが存在しない場合に、Pod List APIが空の配列ではなくnullを返すバグを修正しました[#7392]。

 - ハイジャックされたエンドポイントがデータを送受信する準備が整う前に、早期にハイジャックを実行するバグを修正しました[#7195]。

 - 複数のコンテナで一度に操作できるPodエンドポイント(Kill、Pause、Unpause、Stopなど)が、失敗した個々のコンテナからのエラーを転送しないバグを修正しました。

 - ネットワーク用のCompat Listエンドポイントが、フィルタリング結果をサポートするようになりました[#7462]。

 - 存在しないポッドで実行された場合に、ポッドのTopエンドポイントが500と404の両方を返すバグを修正しました。

 - Pullエンドポイントが進捗をクライアントにストリームしないバグを修正しました。

 - Versionエンドポイント(LibpodおよびCompat)が、Dockerと互換性のある形式でバージョンを提供するようになりました。

 - APIリクエストに対するすべての非ハイジャック応答に、サーバーのバージョンのヘッダーを含めることはできません。

 - LibpodおよびCompat Eventsエンドポイントが、最初のイベントが発生するまで応答ヘッダーを送信しないバグを修正しました[#7263]。

 - Buildエンドポイント(CompatおよびLibpod)が進捗をクライアントにストリームしないバグを修正しました。

 - Statsエンドポイント(CompatおよびLibpod)がクライアントの切断を適切に処理しないバグを修正しました。

 - Libpod Stopエンドポイントに対するIgnoreパラメーターが適切に機能しないバグを修正しました。

 - コンテナのCompat Logsエンドポイントが出力を適切な形式でストリームしないバグを修正しました[#7196]。

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Module for Containers 15-SP2:

zypper in -t patch SUSE-SLE-Module-Containers-15-SP2-2020-3378=1

SUSE Linux Enterprise Module for Containers 15-SP1:

zypper in -t patch SUSE-SLE-Module-Containers-15-SP1-2020-3378=1

SUSE Enterprise Storage 7:

zypper in -t patch SUSE-Storage-7-2020-3378=1

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=1176804

https://bugzilla.suse.com/show_bug.cgi?id=1178122

https://bugzilla.suse.com/show_bug.cgi?id=1178392

https://www.suse.com/security/cve/CVE-2020-14370/

http://www.nessus.org/u?86678f58

プラグインの詳細

深刻度: Medium

ID: 143753

ファイル名: suse_SU-2020-3378-1.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2020/12/9

更新日: 2023/3/23

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4

現状値: 3

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

CVSS スコアのソース: CVE-2020-14370

CVSS v3

リスクファクター: Medium

基本値: 5.3

現状値: 4.6

ベクトル: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:podman, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/11/19

脆弱性公開日: 2020/9/23

参照情報

CVE: CVE-2020-14370