SUSE SLES15セキュリティ更新プログラム:conmon、fuse-overlayfs、libcontainers-common、podman(SUSE-SU-2020:2731-1)
medium Nessus プラグイン ID 143877
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
このconmon、fuse-overlayfs、libcontainers-common、podmanの更新では、次の問題が修正されます:podmanがv2.0.6に更新されました(bsc#1175821)
新しいREST APIに対して欠落しているsystemdユニットをインストールし(bsc#1175957)、以前欠落していたいくつかのmanページをインストールします
varlink API関連ビットをドロップします(新しいAPIに代わって)
zshを完了するためのインストール場所を修正します
- cgroups v1システムのコンテナでsystemdを実行すると失敗するバグを修正しました。
- コンテナの/etc/passwdにコンテナを起動したユーザーのエントリが含まれていない場合に、コンテナを再起動するたびに/etc/passwdが再作成される可能性のあるバグを修正しました。
- 非rootユーザーを指定する/etc/passwdファイルのないコンテナが起動しないバグを修正しました。
- 場合によって--remoteフラグがリモート接続を行わず、代わりにローカルでPodmanの実行を試行するバグを修正しました。
v2.0.6への更新:
機能
- --userns=keep-idで実行した場合、rootless PodmanによりPodmanを実行したユーザーのエントリが/etc/passwdに追加されるようになりました。
- podmanシステム接続コマンドは、複数の接続をサポートするために作り直され、使用可能になりました。
- 現在、Podmanには、リモートのPodman APIインスタンスへの接続を指定するための新しいグローバルフラグ--connectionがあります。
変更
- Podmanの自動systemd統合(
デフォルトで設定される--systemd=trueフラグによって有効化)は、 単に/usr/sbin/initおよび/sbin/init(およびsystemdで終わるパス)ではなく、コマンドとして/usr/local/sbin/initを使用するコンテナに対して有効になります。
- podman createおよびpodman runに対して--security-opt seccomp=...フラグで指定されるseccompプロファイルは、コンテナが
--privilegedを使用して作成された場合でも反映されるようになりました。
バグ修正
- podman play kubeがポート転送でhostIPフィールドを遵守しないバグを修正しました(#5964)。
- 無効な再起動ポリシーが指定されたときにpodman generate systemdコマンドでパニックが発生するバグを修正しました(#7271)。
- 多数の画像が存在する場合に、podman imagesコマンドの完了に非常に長い時間(数分)がかかるバグを修正しました。
- 大量の出力が印刷される場合、
--tailフラグを含むpodman logsコマンドが適切に機能しないバグを修正しました((#7230)[https://github.com//issues/7230])。
- execセッションの開始が失敗した場合に(存在しないコマンドの呼び出しなど)、リモートのPodmanを使用するpodman execコマンドで、ゼロ以外の終了コードが返さされないバグを修正しました(#6893)。
- リモートのPodmanを使用するpodman loadコマンドで、ユーザー指定のタグが遵守されないバグを修正しました(#7124)。
- Systemdによって非rootユーザーとして実行する場合に、podman system serviceコマンドでPodman一時停止プロセスが適切に処理されず、結果として正常に再起動されないバグを修正しました(#7180)。
- podman create、podman run、およびpodman pod createに対して--publishフラグを使用すると、0.0.0.0のホストIPが適切に処理されない(システム上のすべてのIPの代わりにリテラルの0.0.0.0へのバインドが試行される)バグを修正しました(#7104)。
- コンテナの終了が原因でコマンドが終了した場合に、podman start--attachコマンドでコンテナの終了コードが出力されないバグを修正しました。
- --volumesフラグが指定されている場合でも、リモートのPodmanを使用するpodman rmコマンドで、ボリュームが削除されないバグを修正しました(#7128)。
- リモートのPodmanおよび
--rmフラグを使用するpodman runコマンドが、コンテナが完全に削除される前に終了する可能性があったバグを修正しました。
- --pod new: ...フラグをpodman runおよびpodman createに使用すると、名前空間を共有しないポッドが作成されたバグを修正しました。
- podman runおよびpodman execに対して--preserve-fdsフラグを使用すると、ユーザー提供の記述子をコンテナに渡した後でこれらを閉じようとする前に、誤ったファイル記述子を閉じる可能性があったバグを修正しました。
- イメージによって提供されない場合にデフォルトの環境変数($PATHおよび$TERM)がコンテナで設定されないバグを修正しました。
- 終了後にポッドインフラコンテナが適切にマウント解除されないバグを修正しました。
- IPv6サブネットでpodman network createで作成されたネットワークでIPv6デフォルトルートが適切に設定されないバグを修正しました。
- 出力が別のコマンドにパイピングされたときにpodman saveコマンドが適切に動作しないバグを修正しました(#7017)。
- cgroups v1システムでsystemd initを使用しているコンテナが、/sys/fs/cgroup/systemdの下のマウントをホストに漏洩する可能性があったバグを修正しました。
- podman buildで完了時にイベントが生成されないバグを修正しました(#7022)。
- リモートのPodmanを使用してpodman historyコマンドを実行すると、レイヤーに対して不適切な作成時間が出力されるバグを修正しました(#7122)。
- Podmanにより、コンテナイメージで指定された作業ディレクトリが存在しない場合に作成されないバグを修正。
- ユーザーがENTRYPOINTをオーバーライドした場合に、PodmanによりコンテナイメージからCMDが消去されないバグを修正しました(#7115)。
- イメージ名の解析中のエラーが完全に報告されないバグを修正しました(正確な問題を含むエラーメッセージの一部がドロップされていました)。
- リモートのPodmanを使用してpodman imagesコマンドを実行すると、--formatフラグに指定されたGoテンプレートでイメージタグの印刷がサポートされないバグを修正しました(#7123)。
- podman rmi --forceコマンドで、削除するコンテナのアンマウントが試行されないバグを修正しました。これにより、画像の削除に失敗する可能性がありました。
- podman generate systemd --newコマンドで、空白を含むPodmanに対する引数が不適切に引用符で囲まれ、ユニットファイルが機能しなくなるバグを修正しました(#7285)。
- podman versionコマンドで、ビルド時間とGitコミットが適切に含まれないバグを修正しました。
- systemd cgroupマネージャーを使用しないシステム上のPodmanコンテナで、systemdを実行すると失敗するバグを修正しました(#6734)。
- コンテナが--userを介して非rootユーザーとして起動された場合に、--cap-addの機能が適切に追加されなかったバグを修正しました。
- Podインフラコンテナが停止した際に適切にクリーンアップされず、ネットワーキングの問題が発生していたバグを修正しました(#7103)。
API
- libpodとcompatのビルドエンドポイントで、application/tarコンテンツタイプが受け入れられない(代わりに、application/x-tarのみが受け入れられる)バグを修正しました(#7185)。
- libpod Existsエンドポイントで、一部のエラー状態において2番目のヘッダーの書き込みが試行されたバグを修正しました(#7197)。
- リクエストされたネットワークが見つからない場合に、compatおよびlibpodのNetwork InspectエンドポイントとNetwork Removeエンドポイントで、404ではなく500が返されるバグを修正しました。
- バージョン化された_pingエンドポイント(例:
http://localhost/v1.40/_ping)。
- podmanシステムサービスがアイドルタイムアウトによりシャットダウンする場合に、REST APIのsystemd管理のインスタンスを通じて起動されたコンテナがシャットダウンしていたバグを修正しました(#7294)。
- サブネットマスクが有効値となるように、libpod Network Createエンドポイントに対してより強力なパラメーター検証を追加ました。
- Libpod Container Listエンドポイントに対するPod URLパラメーターが廃止されました。以前はPodブール値によってゲートされていた情報は、無条件に応答に含まれるようになりました。
AppArmorにとって必須のハードを推奨に変更しました。これらはランタイムまたはSELinuxでは必要ありませんが、AppArmorを使用する場合はすでにインストールされています[jsc#SMO-15]
SELinuxサポートのあるビルドにpkg-config(libselinux)用のBuildRequiresを追加します[jsc#SMO-15]
v2.0.4への更新
podman image searchの出力で、誤ってIDフィールドに割り当てられたために説明フィールドが入力されないバグを修正しました。
podman buildおよび、HTTPターゲットでのpodman buildが失敗していたバグを修正しました。
rootless Podmanで、匿名ボリュームのコピーされたコンテンツが不適切にchownされていたバグを修正しました(#7130)。
PodmanのCLI出力で、特殊文字がHTMLエスケープされることがあったバグを修正しました。
podman start --attach --interactiveコマンドで、終了時にアタッチされたコンテナのコンテナIDが印刷されていたバグを修正しました(#7068)。
podman run --ipc=host --pid=hostで、
--pid=hostの実が設定され、--ipc=hostが設定されなかったバグを修正しました(#7100)。
podman run、podman createおよびpodman pod createに対する--publish引数により、同じコンテナポートを複数のホストポートにバインドできなかったバグを修正しました(#7062)。
podman images --formatに対する不適切な引数により、Podmanでセグメンテーション違反が発生する可能性のあったバグを修正しました。
イメージIDに複数の名前が存在し、そのイメージが少なくとも1つのコンテナで使用されている場合に、そのイメージIDに対してpodman rmi --forceを実行すると、そのイメージを使用するコンテナが完全には削除されなかったバグを修正しました(#7153)。
メモリ使用量(バイト単位)とメモリ使用率が、podman stats
--format=jsonの出力でスワップされていたバグを修正しました。
フィルターが指定されない場合に、libpodイベントとcompatイベントのエンドポイントが失敗していたバグを修正しました(#7078)。
compat Infoエンドポイントからの応答のCgroupVersionフィールドに「v」のプレフィックスが付いていたバグが修正されました(記載されているように、「1」または「2」だけでなく)。
katacontainersを推奨する代わりに提案します。デフォルトでは有効化されていないため、単に過度に拡張されます
v2.0.3への更新
エントリポイントの処理を修正します
ログAPI:コンテキストを追加してキャンセルできるようにします
APIの修正:無効な構成でコンテナを作成
Libpodから指定されたリターン「err」のすべてのインスタンスを削除します
DokuWiki の RSS 埋め込みメカニズムの XSS を修正。注意:ハイジャックされた接続の接続カウンターを修正します
DokuWiki の RSS 埋め込みメカニズムの XSS を修正。注意:rfc 7230のセマンティクスに従うためにv2エンドポイントをハイジャックします
ハイジャックされた接続をアクティブな接続リストから削除します
バージョン/情報:フォーマット:より多くのjsonバリアントを許可
非端末リモートexecでSTDOUTを適切に印刷します
リモート作成用のコンテナおよびポッド作成コマンドを修正します
/sys/devをマスクして、ホストからの情報漏洩を防止します
sig-proxyのデフォルトが起動時に伝播されるようにします
コンテナの検査にSystemdModeを追加します
systemdモードを判断する際に、完全なコマンドを使用します
lintを修正します
「pod inspect」で残りの未使用フィールドに入力します
「pod inspect」にインフラコンテナ情報を含めます
play-kube:「IfNotPresent」プルタイプのサポートを追加
docs:ユーザーの名前空間をポッドで共有できません
「エラー:ポートマッピングにおける認識されないプロトコル「TCP」」を修正します
ルートのないMACおよびIPアドレスのエラー
コードベースの問題のある言語に関する修正および注記の追加
abi:デフォルトのumaskとrlimitsを設定します
タグ解析でエラーのある参照パッケージを使用しました
fix:画像に名前がない場合のシステムdfエラー
APIタイトル/説明の生成を修正
noop関数disable-content-trustを追加します
play kubeがdockerfile ENTRYPOINTをオーバーライドしない問題を修正します
apparmorのデフォルトプロファイルをサポート
github.com/containers/commonをv0.14.6に更新します
イベントエンドポイント:旧型に対する後方互換
イベントエンドポイント:パニックと競合状態を修正します
参照をlibpod.confからContainers.confに切り替えます
podman.service:タイプをsimpleに設定します
podman.service:docをpodman-system-serviceに設定します
podman.service:デフォルトのregistries.confを使用します
podman.service:デフォルトのkillmodeを使用します
podman.service:停止タイムアウトを削除します
systemd:シンボリックリンクユーザー->システム
ベンダーgolang.org/x/[email protected]
--pids-limitが不適切に解析されていたバグを修正します
search:ワイルドカードを許可します
[CI: DOCS] policy.jsonをゲート画像にコピーしません
systemd pid 1テストを修正します
Cirrus:ポストリポジトリでキーを回転します。改名
libpod.conf(5) manページが削除され、すべての参照が、libcontainers-commonパッケージの一部となるcontainers.conf(5)を指すようになりました。
podman v2.0.2に更新してください
「libpod.GetEvents(...)」の競合状態を修正します
「podman mount」がルートなしとしてエラーにならなかったバグを修正します
podmanシステム接続を削除します
libpodでv2が使用されるようにインポートを修正します
v2.0.2のリリースノートを更新
specgen:rlimits設定の順序を修正します
umaskが「システムサービス」に対して適切に設定されるようにする
systemdを生成:pod-flagsフィルターを改善します
APIv2 compat network removeによるバグを修正し、nilではなくErrNetworkNotFoundがログに記録されるようにします
--remoteフラグの問題を修正します
pids-limitは、ユーザーが設定した場合にのみ設定される必要があります
Windowsのコンソールモードを設定します
--publishフラグの空のホストポートを許可します
「システムサービス」でサポートされるAPIに対して注記を追加します
fix:「nil」の場合、エントリポイントをオーバーライドしません
設定されていない場合、デフォルトでTMPDIRを/var/tmpに設定します
テスト:--userおよびボリュームのテストを追加します
コンテナ:仕様の生成後にボリュームchownを移動します
libpod:ボリュームコピーアップで名前空間マッピングを遵守します
イベントの早期ハングアップによる「システムサービス」パニックを修正します
e2eテストでpodmanサービスを停止します
ポッドの個々のコンテナからエラーを印刷します
自動更新:systemd-unitの要件を明確にします
podman psでコマンドを切り捨てます
goモジュールをv2に移動します
ベンダーcontainers/common v0.14.4
v2ブランチでimagebuilder v1.1.6に更新します
イメージ名の非デフォルトポート番号の説明
v2.0.1以降の変更
v2.0.1の追加の変更でリリースノートを更新します
複数のラベルを表示するように検査を修正します:変更
log-level=debugでのexitコマンドに対してsyslogを設定します
pr 6751に対する分かりやすい修正
podman run/create:すべてのトランスポートをサポート
systemd generate:ポッド内のコンテナユニットを手動で再起動できるようにします
コンテナへの--remoteフラグの送信を戻します
ネットワークを共有するCTR向けの「ps」でのポートマッピングを出力します
ベンダーgithub.com/containers/[email protected]
v2.0.1のリリースノートを更新
utils:uid!=0の実行時にデフォルトのマッピングをドロップします
明示的に設定されていない場合に停止信号を15に設定します
podman untag:タグが存在しない場合のエラー
検査ネットワーク設定の再フォーマット
APIv2:ボリューム作成から「StatusCreated」を返します
APIv2:fix:compatネットワークEPから「/json」を削除します
ssh-agentのサポートを修正します
libpod:ストレージに対してマッピングを指定します
APIv2:doc:swagger docがボリュームを参照するように修正します
podmanネットワークをbashコマンドの完了に追加します
「podman auto update」のmanページの誤字を修正します。
psのJSON出力フィールドを追加します
V2 podmanシステム接続
画像読み込み:引数は不要
PODMAN_USERNS環境変数を再追加します
特権フラグとその他のフラグの間の競合を修正します
必要なgoバージョンを1.13に更新します
テストケースで、明示的なコマンドをalpineコンテナに追加します。
タイマーにPOLL_DURATIONを使用します
タイマーを使用する次のログを停止します
生成されたsystemdユニットファイルの名前で「pod」が「po」に切り捨てられていました。
rootless_linux:エラーメッセージを改善します
--http-proxyフラグのpodman buildによる処理を修正します
「rm」実行可能ファイルの絶対パスを修正します
Makefile:カスタマイズ可能なGO_BUILDを許可します
Cirrus:DEST_BRANCHをv2.0に変更します
podman v2.0.0に更新します
「podman generate systemd」コマンドが、ポッドで使用される際に「--new」フラグをサポートするようになり、ポッドのポータブルサービスを作成できるようになりました。
「podman play kube」コマンドが、Kubernetes Deployment YAMLの実行をサポートするようになりました。
「podman exec」コマンドが、コンテナでコマンドをバックグラウンドで実行するために、「--detach」フラグをサポートするようになりました。
「podman run」および「podman create」に対する「-p」フラグが、IPv6アドレスへのポート転送をサポートするようになりました。
「podman run」、「podman create」および「podman pod create」コマンドが、同じ名前を持つ任意の既存のコンテナ(または、「pod create」の場合にはポッド)を削除および置換するために、「--replace」フラグをサポートするようになりました
「podman run」および「podman create」に対する「--restart-policy」フラグが、「unless-stopped」再起動ポリシーをサポートするようになりました。
「podman run」および「podman create」に対する「--log-driver」フラグが、コンテナの出力をログに記録しない「none」ドライバーをサポートするようになりました。
「podman run」および「podman create」に対する「--mount」フラグが、「ro」に対するエイリアスとして「readonly」オプションを受け入れるようになりました。
「podman generate systemd」コマンドが、生成されるユニットファイルの名前を制御するために、「--container-prefix」、「--pod-prefix」、「--separator」の引数をサポートするようになりました。
「podman network ls」コマンドが、結果をフィルタリングするために、「--filter」フラグをサポートするようになりました。
「podman auto-update」コマンドが、「io.containers.autoupdate.authfile」ラベルを使用してコンテナごとに新しいイメージをプルする際に使用するauthfileの指定をサポートするようになりました。
journaldに記録されたコンテナで実行されると、「podman exec」コマンドがjournaldに記録されていたバグを修正しました([#6555](https://github.com/containers/libpod/issues/6555))。
「podman auto-update」コマンドで、置換をプルするときに元のイメージのOSとアーキテクチャが保持されなかったバグを修正しました([#6613](https://github.com/containers/libpod/issues/6613))。
「podman cp」コマンドで、既存のディレクトリにコピーするときに余分な「merged」ディレクトリが作成される可能性があったバグを修正しました([#6596](https://github.com/containers/libpod/issues/6596))。
「--network=host」でポッドを実行すると「podman pod stats」コマンドがクラッシュしていたバグを修正しました([#5652](https://github.com/containers/libpod/issues/5652))。
journaldに書き込まれたコンテナログにコンテナの名前が含まれなかったバグを修正しました。
「podman network inspect」および「podman network rm」コマンドで、デフォルト以外のCNI構成パスが適切に処理されなかったバグを修正しました([#6212](https://github.com/containers/libpod/issues/6212))。
KataコンテナOCIランタイムを使用している場合に、Podmanでコンテナが適切に削除されなかったバグを修正しました。
「podman inspect」で、「--net=none」により開始されたコンテナのネットワークモードが不適切に報告されることがあったバグを修正しました。
Podmanは、監視しているコンテナの前に「conmon」がkillされるケースをより適切に処理できるようになりました。
podman v1.9.3に更新します:
FIPSが有効なホストで、FIPSモードのシークレットがコンテナに適切にマウントされなかったバグを修正しました
Varlinkでビルドを実行するとハングアップしていたバグを修正しました
ダイジェストでターゲットイメージが指定されると、podman saveが失敗していたバグを修正しました
並行性問題により、ポートの転送先であるルートのないコンテナでパニックが発生し、コアがダンプされる可能性があったバグを修正しました(#6018)
rootless Podmanがrootlessユーザー名前空間を開く際に競合して、コマンドの実行が失敗する可能性があったバグを修正しました
--http-proxyフラグによりコンテナに転送されたHTTPプロキシ環境変数を、--envでオーバーライドできなかったバグを修正しました
--env-file
rootless Podmanで、systemd管理のcgroupを使用していない(したがって、リソース制限をサポートしていない)cgroups v2システムにリソース制限を設定していて、コンテナの起動に失敗していたバグを修正しました
podmanをv1.9.1に更新してください:
バグ修正
- コンテナログのパスが--log-pathを使用して手動で設定され、複数のコンテナログが同じディレクトリに配置された場合に、ヘルスチェックが機能しなくなる可能性があったバグを修正しました
- rootless Podmanで、古いlibpod.confを使用している場合に、無効なCGroupマネージャー構成に関する多数の警告メッセージが出力される可能性があったバグを修正しました
- rootless Podmanがrootlessユーザー名前空間に参加する際に、名前空間を閉じるのに失敗することがあったバグを修正しました
podmanをv1.9.0に更新してください:
機能
- podmanの実行に実験的なサポートが追加されました
--userns=auto。これは、新しいコンテナのユーザー名前空間に一意のUIDとGIDの範囲を自動的に割り当てます
- podman play kubeコマンドに、作成されたポッドを1つ以上のCNIネットワークに配置するための--networkフラグが追加されました
- podman commitコマンドが、コミットされたイメージのIDをファイルに書き込むための--iidfileフラグをサポートするようになりました
- 新しいcontainers.conf構成ファイルの初期サポートが追加されました。 containers.confにより、一部のPodman機能のより詳細な構成が可能になります
変更
- podman infoコマンドが大幅にクリーンアップされ、変更が破棄されました。多くのフィールドの名前が、APIv2での使用に合わせて変更されました
- --timeoutフラグのすべての使用が、代替の--timeを優先するように切り替えられました。--timeoutフラグは引き続き機能しますが、manページと--helpでは
代わりに--timeが使用されます
バグ修正
- ホストからのボリュームマウントの一部で、マウント時に使用する必要のあるフラグを適切に判断できないことがあったバグを修正しました
- PodmanでConmonおよびOCIランタイムに$PATHが伝播されず、それを必要とする一部のOCIランタイムで問題が発生していたバグを修正しました
- rootless Podmanで、cgroupをサポートしていないコンテナで実行した場合に、systemd cgroupのサポートがないことに関するエラーメッセージが出力されていたバグを修正しました
- podman play kubeで、コンテナのみのポートマッピングが適切に処理されなかったバグを修正しました(#5610)
- podman container pruneコマンドで、作成および構成された状態のコンテナがプルーニングされなかったバグを修正しました
- Podmanで、再起動後にCNI IPアドレス割り当てが適切に削除されなかったバグを修正しました(#5433)
- Podmanで、--security-optがコマンドラインに指定されてない場合に、デフォルトのSeccompプロファイルが適切に適用されなかったバグを修正しました
HTTP API
- Change、Checkpoint、Init、Restoreを含む、多くのLibpod APIエンドポイントが追加されています
- アクティブな接続がまだ存在しているうちにpodmanシステムサービスコマンドがタイムアウトして終了していた問題を解決しました
- Podman 2.0でベータリリースのAPIをまもなく準備するため、全体の安定性が大幅に改善されました
その他
- ポッドのデフォルトインフライメージがk8s.gcr.io/pauseにアップグレードされました:非AMD64イメージのアーキテクチャメタデータにおけるバグに対処するために、3.2(3.1から)
- rootless Podmanのslirp4netnsネットワーキングユーティリティでは、Seccompフィルタリングを使用するようになりました(セキュリティの向上のために利用可能な場合)
- Buildahをv1.14.8に更新しました
- コンテナ/ストレージをv1.18.2に更新しました
- containers/imageをv5.4.3に更新しました
- containers/commonをv0.8.1に更新しました
journaldロギングのサポート付きでビルドするために「systemd」BUILDFLAGSを追加します(bsc#1162432)
podmanをv1.8.2に更新してください:
機能
- Systemdユニットファイルを介して管理されるコンテナを自動的に更新するための初期サポートが統合されました。これにより、イメージの新しいバージョンが利用可能になった場合に、コンテナが自動的にアップグレードされます
バグ修正
- podmanによって生成されたユニットファイルがsystemdを生成するバグを修正しました
--newはコンテナのデタッチを強制しないため、起動を試行する際にユニットがタイムアウトします
- podman system resetで、旧式のPodmanによって作成されたインストールでルートなしとして実行された場合に、重要なシステムディレクトリが削除される可能性があったバグを修正しました(#4831)
- podman buildによってビルドされたイメージにより、ビルドに使用されたOSおよびアーキテクチャが適切に設定されなかったバグを修正しました(#5503)
- --sig-proxyを有効(デフォルト)にしてアタッチされたpodman runで、Go 1.14を使用してビルドする際に、コンテナ内のプロセスに信号23が繰り返し送信され、コンテナの停止時にエラーが生成される可能性があったバグを修正しました(#5483)
- ポートを転送する際にrootless Podmanの実行コマンドがハングアップする可能性があったバグを修正しました
- /procがhidepidオプションを設定してマウントされたときに、rootless Podmanが動作しなかったバグを修正しました
- podmanシステムサービスコマンドで、--timeoutが0に設定されている場合に、CPUを大量に使用していたバグを修正しました(#5531)
HTTP API
- イメージマニフェストリストでの作成および操作に関連するLibpodエンドポイントの初期サポートが追加されました
- Libpod HealthcheckおよびEvents APIエンドポイントがサポートされるようになりました
- Swaggerエンドポイントで、Swaggerドキュメントが生成されていない場合も処理できるようになりました
podmanをv1.8.1に更新してください:
機能
- podman pod createに多数のネットワーキング関連のフラグが追加され、次を含むポッドネットワークのカスタマイズが可能になりました
--add-host、--dns、--dns-opt、--dns-search、--ip、
--mac-address、--networkおよび --no-hosts
- podman ps --format=jsonコマンドに、次で作成されたイメージコンテナのIDが含まれるようになりました
- podman runおよびpodman createコマンドは、
--rmiフラグを特徴としており、これにより、コンテナで終了後に使用されていたイメージが削除されます(前述のイメージを使用しているコンテナが他にない場合)([#4628](https://github.com/containers/libpod/issues/4628))
- podman createコマンドとpodman runコマンドで、
--device-cgroup-ruleフラグがサポートされるようになりました(#4876)
- HTTP APIはalphaのままですが、多くの修正や追加が行われました。これらは、以下の別のサブセクションで文書化されています
- podman createおよびpodman runコマンドは、
--no-healthcheckフラグを特徴としており、これにより、コンテナのヘルスチェックが無効化されます(#5299)
- コンテナで、実行するイメージに必要な機能のリストを指定するio.containers.capabilitiesラベルが認識されるようになりました。これらの機能は、使用されるデフォルトの機能より制限的である場合に使用されます
- podman generate kubeコマンドによって生成されるYAMLに、
--security-opt label=...を介してコンテナに渡されるSELinux構成が含まれるようになりました(#4950)
バグ修正
最初にコンテナにマウントする前に手動で入力したボリュームのコンテンツが、最初にコンテナにマウントするときに上書きされる可能性があったセキュリティ問題CVE-2020-1726を修正しました
- DNSプラグインが有効化されたCNIネットワークのユーザー名前空間を持つPodmanコンテナで、DNSプラグインのネームサーバーがそのresolv.confに追加されなかったバグを修正しました([#5256](https://github.com/containers/libpod/issues/5256))
- イメージボリューム定義の末尾の/文字が原因で、同じ場所のユーザー指定のマウントによってイメージボリューム定義がオーバーライドされない可能性があったバグを修正しました([#5219](https://github.com/containers/libpod/issues/5219))
- SELinuxをデフォルトで無効にするために使用されるlibpod.confのラベルオプションが考慮されないバグを修正しました(#5087)
- podman loginおよびpodman logoutコマンドにおいて、ログイン先のレジストリを指定する必要があるバグを修正しました(#5146)
- デタッチされたrootless Podmanコンテナがポートを転送できなかったバグを修正しました(#5167)
- 一時停止プロセスが終了した場合に、rootless Podmanが実行に失敗する可能性があったバグを修正しました
- Podmanで、キーのみで値なしの状態で指定されたラベルが無視されていたバグを修正しました(#3854)
- Podmanで、バッキングファイルシステムがSELinuxのラベルをサポートしていない場合に、指定されたボリュームの作成に失敗していたバグを修正しました(#5200)
- --detach-keys=''で、コンテナからのデタッチが無効化されなかったバグを修正しました(#5166)
- podman psコマンドが、コンテナをフィルターする際に過度にアグレッシブになり、
非常に多くの状況で--allを強制していたバグを修正しました
- podman play kubeコマンドで、ボリューム、作業ディレクトリ、ラベル、停止信号を含むイメージ構成が無視されていたバグを修正しました(#5174)
- podman images
--format=jsonのCreatedおよびCreatedTimeフィールドが間違った名前で指定され、これにより、これらのフィールドのGoテンプレート出力が中断されていたバグを修正しました([#5110](https://github.com/containers/libpod/issues/5110))
- ポートが転送されたrootless Podmanコンテナが、起動時にハングアップする可能性があったバグを修正しました(#5182)
- podman pullが、ポート番号を含むレジストリ名の解析に失敗する可能性があったバグを修正しました
- Podmanで、コンテナの起動時に、イメージOSおよびアーキテクチャの検証が不適切に試行されていたバグを修正しました
- podman build -fのBash完了で、構築に利用可能なファイルがリストされなかったバグを修正しました(#3878)
- podman commit --changeで、不適切な検証が実行され、有効な変更内容が拒否されていたバグを修正しました(#5148)
- コンテナ用のログファイルが大きい場合に、podman logs --tailが大量のメモリを消費する可能性があったバグを修正しました(#5131 )
- firewalldを使用するシステムで、Podmanがファイアウォールルールを間違って生成することがあったバグを修正しました
- podman inspectコマンドで、コンテナが複数のCNIネットワークに参加した場合に、コンテナのネットワーク情報が適切に表示されなかったバグを修正しました([#4907](https://github.com/containers/libpod/issues/4907))
- podman createおよびpodman runに対する--utsフラグにより、完全なIDによるコンテナの指定のみが許可されていたバグを修正しました(#5289)
- rootless Podmanで、多数のファイル記述子を渡す際にセグメンテーション違反が引き起こされる可能性があったバグを修正しました
- podman portコマンドが追加引数をポート番号ではなくコンテナ名として間違って解釈していたバグを修正しました
- podman generate systemdによって作成されたユニットがネットワークターゲットに依存せず、システムネットワークの準備が整う前に開始する可能性があったバグを修正しました(#4130)
- ユーザーを指定していないコンテナのexecセッションで、次を介してコンテナに追加された補助グループが継承されなかったバグを修正しました
--group-add
- Podmanで、一部の操作中(例:podman pull)に大きな一時ファイルを配置するために$TMPDIR環境変数が考慮されなかったバグを修正しました([#5411](https://github.com/containers/libpod/issues/5411))
HTTP API
- SSHトンネリングによるサーバーへの安全な接続の初期サポートが追加されました
- コンテナ用のlibpod作成およびログのエンドポイントの初期サポートが追加されました
- APIドキュメントを提供するための/swagger/エンドポイントを追加しました
- コンテナのjsonエンドポイントが多くの修正を受けました
- イメージとコンテナのフィルタリングが大幅に改善され、多くのバグが修正されて、ドキュメントが改善されました
- イメージ作成エンドポイント(commit、pullなど)には、多くの修正が適用されています
- サーバーのタイムアウトが修正され、長い操作でもタイムアウトが発生してサーバーがシャットダウンすることはなくなりました
- コンテナのstatsエンドポイントにメジャーな修正が適用され、現在は正確な出力が提供されるようになりました
- HTTP 304ステータスコードの処理がすべてのエンドポイントで修正されました
- APIドキュメントがコードと一致するように、多くの修正が行われました
その他
- podman images --format=jsonのCreatedフィールドが、修正の一部としてCreatedSinceに名前変更されました(#5110)。古い名前を使用するGoテンプレートは引き続き機能します
- podman images --format=jsonのCreatedTimeフィールドが、修正の一部としてCreatedAtに名前変更されました(#5110)。古い名前を使用するGoテンプレートは引き続き機能します
- podman imagesのbeforeフィルターが、Dockerの互換性のためにsinceに名前変更されました。beforeを使用しても引き続き機能しますが、新しいsinceフィルターを使用するためにドキュメントが変更されました
- podman loginに--passwordフラグを使用すると、パスワードを平文で渡すことを警告するようになりました
- Podmanがデッドロックする一般的な状況が、デッドロックを解決するためにpodman system renumberを実行する必要があることをユーザーに警告するよう修正されました
- podmanのbr_netfilterを自動的に構成します(bsc#1165738)トリガーは、コマンドの実行中にpodman-cni-configを更新した場合にのみ実行されます
conmonはv2.0.20に更新されました(bsc#1175821)
journald:ロギングコンテナ名を修正します
コンテナロギング:noneドライバーを実装します。「off」、「null」、「none」のすべてが機能します。
ctrl:リンク解除に失敗した場合に警告します
fsync呼び出しをドロップします
exitコマンドを実行する前にPIDを取得します
ログパス解析を修正します
conmonがダブルフォークするのを防ぐために--syncオプションを追加します
--no-sync-logオプションを追加して、conmonにシャットダウン時にコンテナのログを同期させないようにします。この機能は、ログ同期を無条件にドロップしていた回帰を修正します。コンテナログが、突然の電源オフで破損する可能性があります。突然のシャットダウン後にコンテナログを一貫した状態に保つ必要がある場合は、v2.0.19からv2.0.20に更新してください
v2.0.17への更新:
- exitコマンドの実行を遅らせるためのオプションを追加します
v2.0.16への更新:
- tty:fdの準備ができたら保留中のデータをフラッシュします
journaldロギングのサポートを有効にします(bsc#1162432)
v2.0.15への更新:
- pidの待機中にステータスを保存します
v2.0.14への更新:
- splice(2)の使用をドロップします
- stdinのハングアップを回避します
- stdio:ioの終了後にメインループが終了することがあります
- sigpipeを無視します
v2.0.12への更新
- oom:検証ステップ間の競合の可能性を修正します
v2.0.11への更新
- log:k8s-fileで--log-tagを拒否します
- chmod stdファイルのパイプ
- conmonがOOM killされないように、スコアを-1000に調整します
- コンテナOOM:OOMをレポートする前にcgroupがクリーンアップされていないことを検証します
- ジャーナルロギング:-1の代わりに/dev/nullに書き込みます
fuse-overlayfsが1.1.2に更新されました (bsc#1175821):
ホワイトアウトファイル作成時のメモリリークを修正します。
オーバーフローgidと異なる場合に、オーバーフローuidの検索を修正します。
利用可能な場合はopenat2(2)を使用します。
マウントオプションとして「ro」を受け入れます。
シンボリックリンクのset mtimeを修正します。
静的分析により報告された一部の問題を修正します。
短い読み取りでの無限ループの可能性を修正します。
宛先が上位レイヤーにすでに存在する場合のディレクトリ作成を修正します。
後続のstat呼び出しに対しても、ディレクトリのリンク数を正しく報告します
ファイルを開くことができなかった場合、下層のinoの検索を停止します
rename(2)を行う前に、宛先が削除されていることを確認します。残りのディレクトリがEEXISTで削除を失敗させるのを防ぎます。
--debugを順守します。
libcontainers-commonが更新され、次が修正されました:
%_libexecdirが/usr/libexecに変更されるのを修正します(bsc#1174075)
Containers.conf(5) manページ用のcontainers/common tarballを追加しました
containers.confのデフォルト構成を/usr/share/containersにインストールします
githubのlibpodリポジトリがpodmanに名前変更されました
画像5.5.1に更新してください
- credHelperaのドキュメントを追加します
- ルートのないポリシーパスを使用するためのデフォルトを追加します
libpod/podmanを2.0.3に更新します
- docs:ユーザーの名前空間をポッドで共有できません
- 参照をlibpod.confからContainers.confに切り替えます
- --publishフラグの空のホストポートを許可します
- ドキュメントのログインを更新しますconfig.jsonを有効として参照します
ストレージ1.20.2への更新
- skip_mount_homeを追加して戻します
SLEとopenSUSEパッケージの間の残りの違いを削除し、一部のmounts.confデフォルト構成を両方のプラットフォームで出荷します。マウントポイントのソースがopenSUSEにデフォルトでは存在しないため、この構成は基本的にopenSUSEに影響を与えません。(jsc#SLE-12122, bsc#1175821)
画像5.4.4に更新してください
- registries.conf VERSION 2参照をmanページから削除します
- 最初のauthfileのmanページ
- $HOME/.config/containers/certs.dをperHostCertDirPathに追加します
- $HOME/.config/containers/registries.confを構成パスに追加します
- registries.conf.d:registries.confのスタンスを追加します
libpod 1.9.3への更新
- userns:--userns=autoをサポートします
- Dockerにより適切に一致させるために--timeoutではなく--timeの使用に切り替えます
- podman play kubeでCNIネットワークを指定するためのサポートを追加します
- manページ:不整合を修正します
ストレージ1.19.1への更新
- userns:autoのサポートを追加します
- store:デフォルトのユーザーをコンテナに変更します
- config:XDG_CONFIG_HOMEを遵守します
/var/lib/ca-certificates/pem/SUSE.pemの回避策を再度削除します。これはSLESで終了することはなく、根本的な問題を別の方法で修正する作業が行われています。
registry.opensuse.orgをデフォルトレジストリとして追加します[bsc#1171578]
/var/lib/ca-certificates/pem/SUSE.pemをSLESマウントに追加します。これは、container-suseconnectをパブリッククラウドのオンデマンドイメージで機能させるためのものです。パブリッククラウドでホストされているRMTサーバーのサーバー証明書を検証できるようにするには、そのファイルが必要です。
(https://github.com/SUSE/container-suseconnect/issues/41)
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Linux Enterprise Module for Containers 15-SP2:
zypper in -t patch SUSE-SLE-Module-Containers-15-SP2-2020-2731=1
SUSE Linux Enterprise Module for Containers 15-SP1:
zypper in -t patch SUSE-SLE-Module-Containers-15-SP1-2020-2731=1
SUSE Linux Enterprise Module for Basesystem 15-SP2:
zypper in -t patch SUSE-SLE-Module-Basesystem-15-SP2-2020-2731=1
SUSE Linux Enterprise Module for Basesystem 15-SP1:
zypper in -t patch SUSE-SLE-Module-Basesystem-15-SP1-2020-2731=1
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1162432
https://bugzilla.suse.com/show_bug.cgi?id=1164090
https://bugzilla.suse.com/show_bug.cgi?id=1165738
https://bugzilla.suse.com/show_bug.cgi?id=1171578
https://bugzilla.suse.com/show_bug.cgi?id=1174075
https://bugzilla.suse.com/show_bug.cgi?id=1175821
https://bugzilla.suse.com/show_bug.cgi?id=1175957
https://github.com//issues/7230]
https://github.com/SUSE/container-suseconnect/issues/41
https://github.com/containers/libpod/issues/4628
https://github.com/containers/libpod/issues/4907
https://github.com/containers/libpod/issues/5110
https://github.com/containers/libpod/issues/5219
https://github.com/containers/libpod/issues/5256
https://github.com/containers/libpod/issues/5411
https://github.com/containers/libpod/issues/5652
https://github.com/containers/libpod/issues/6212
https://github.com/containers/libpod/issues/6555
https://github.com/containers/libpod/issues/6596
https://github.com/containers/libpod/issues/6613
プラグインの詳細
深刻度: Medium
ID: 143877
ファイル名: suse_SU-2020-2731-1.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2020/12/9
更新日: 2024/2/5
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P
CVSS スコアのソース: CVE-2020-1726
CVSS v3
リスクファクター: Medium
基本値: 5.9
現状値: 5.2
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:conmon, p-cpe:/a:novell:suse_linux:conmon-debuginfo, p-cpe:/a:novell:suse_linux:fuse-overlayfs, p-cpe:/a:novell:suse_linux:fuse-overlayfs-debuginfo, p-cpe:/a:novell:suse_linux:fuse-overlayfs-debugsource, p-cpe:/a:novell:suse_linux:podman, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/9/24
脆弱性公開日: 2020/2/11
参照情報
CVE: CVE-2020-1726