検出

openSUSEセキュリティ更新プログラム:buildah/libcontainers-common/podman(openSUSE-2021-310)

high Nessus プラグイン ID 146649

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このbuildah、libcontainers-common、podmanの更新では、次の問題が修正されます:

libcontainers-commonの変更点:

 - commonを0.33.0に更新します

 - 画像を5.9.0に更新します

 - podmanを2.2.1に更新します

 - ストレージ1.24.5への更新

 - podmanの代わりにcommonが提供するseccompプロファイルに切り替えます

 - 最新バージョンと一致させるためにcontainers.confを更新します

buildahの変更点:

バージョン 1.19.2 に更新してください:

 - containers/storageおよびcontainers/commonのベンダーを更新します

 - Buildah inspectは、マニフェストを検査できる必要があります

 - buildah pushがマニフェストリストとダイジェストのプッシュをサポートするようにします

 - TMPDIR環境変数の処理を修正します

 - --manifestフラグのサポートを追加します

 - 上位ディレクトリは、宛先ディレクトリのモードと一致する必要があります

 - ユーザーが実際に指定した場合にのみ、OS、Archを取得します

 - --arch、--os、--variantオプションを使用して、アーキテクチャとOSを選択します

 - Cirrus:libseccompとgolangのバージョンを追跡します

 - copier.PutOptions:「IgnoreDevices」フラグを追加します

 - 修正:ストア内に親イメージがある場合の「rmi --prune」。

 - build(deps):github.com/containers/storageを1.24.3から1.24.4に更新します

 - build(deps):github.com/containers/commonを0.31.1から0.31.2に更新します

 - ユーザーがstdinをコンテナに指定できるようにします

 - /sysファイルシステムのマウント失敗時のログメッセージをinfoにドロップします

 - スペル

 - SELinuxではタグが不要になりました。

 - build(deps):github.com/opencontainers/selinuxを1.6.0から1.8.0に更新します

 - build(deps):github.com/containers/commonを0.31.0から0.31.1に更新します

 -「make nixpkgs」でnix pinを更新します

 - /var/runへの参照を/runに切り替えます

 - FROMをfromオプションでオーバーライドできるようにします

 - copier:Unixyシステム上でchroot()できることを前提としません

 - copier:PutOptions.NoOverwriteDirNonDir、Get/PutOptions.Renameを追加します

 - copier:ディレクトリを非ディレクトリで置き換える処理を実行します

 - copier:Put:ゼロレングスの名前のエントリをスキップします

 - build(deps):github.com/containers/storageを1.24.2から1.24.3に更新します

 - chownソースボリュームにUボリュームフラグを追加します

 - vmが更新されるまで、PRIOR_UBUNTUテストをオフにします

 - pkg、cli:rootlessで適切な隔離を使用します

 - build(deps):github.com/onsi/gomegaを1.10.3から1.10.4に更新します

 - インストールドキュメントを更新して現在のステータスを反映させます

 - docker.ioの使用を回避します

 - 短い名前のエイリアシングを有効にします

 - build(deps):github.com/containers/storageを1.24.1から1.24.2に更新します

 - build(deps):github.com/containers/commonを0.30.0から0.31.0に更新します

 - 偽の--networkフラグを使用する際にエラーをスローします

 - pkg/supplemented test:nullのblobinfocacheを置換します

 - build(deps):github.com/containers/commonを0.29.0から0.30.0に更新します

 - 忘れられた引用符を挿入します

 - ローカルイメージのマニフェストの作成/追加を優先しません

 - コンテナ情報を.containerenvに追加します

 - --ignorefileフラグを追加して代替の.dockerignoreフラグを使用します

 - ソースデバッグビルドを追加します

 - 無効なフィルターコマンドのクラッシュを修正します

 - build(deps):github.com/containers/commonを0.27.0から0.29.0に更新します

 - コンテナ/共通パッケージの使用に切り替えます

 - 修正:非ポータブルのshebang #2812

 -「Podman」をmanページに漏洩したコピー/貼り付けエラーを削除します。

 - suggests cppをspecファイルに追加します

 - コードレビューからの提案を適用します

 - debianのテスト版と不安定版のドキュメントを更新します

 - imagebuildah:RUNの疑似ターミナルを無効にします

 - イメージソースの作成時にマッピングされたレイヤーのdiffIDを計算します

 - intermediateImageExists:履歴が読み取れないイメージを無視します

 - v1.19.0-devに更新します

 - build(deps):github.com/containers/commonを0.26.3から0.27.0に更新します

 - 同時マージによって引き起こされるテストエラーを修正します

 - containers/storage v1.24.0のベンダー

 - 短い名前のエイリアシング

 - buildah pullに--policyフラグを追加します

 - オーバーラップとスタッターを停止します

 - copier.Get():xattrsをリストする際にENOTSUP/ENOSYSを無視します

 - Run:rootlessモードでUTS名前空間を強制的に無効にしません

 - テスト:Dockerfileパスの非ディレクトリが正しく処理されるようにします

 -「pull」コマンドのいくつかのテストを追加します

 - 配列を処理するようにbuildah config --cmdを修正します

 - build(deps):github.com/containers/storageを1.23.8から1.23.9に更新します

 - Dockerfileパスに非ディレクトリエントリが含まれる場合のNPEを修正します

 - podman buildのmanページからbuildah buldのmanページを更新します

 - 復号化キーの宣言を共通cliに移動します

 - Run:copier.Mkdirを正しく呼び出します

 - util:os.FileInfoからのUID/GIDのdigはUnixで機能する必要があります

 - imagebuildah.getImageTypeAndHistoryAndDiffIDs:結果をキャッシュします

 - userns-uid-mapおよびuserns-gid-map入力を検証します

 - depチェックスクリプトでCPP、CC、およびフラグを使用します

 - MakefileのLDFLAGSのオーバーライドを回避します

 - ADD:URLの--chownを処理します

 -「make nixpkgs」でnix pinを更新します

 -(*Builder).Run:MkdirAll:EEXISTエラーを処理します

 - copier:chroot()の前にnsswitchモジュールのロードの強制を試みます

 - MkdirAllの使用を修正します

 - build(deps):github.com/containers/commonを0.26.2から0.26.3に更新します

 - build(deps):github.com/containers/storageを1.23.7から1.23.8に更新します

 - 静的ビルドに対してosusergoビルドタグを使用します

 - imagebuildah:キャッシュで画像フォーマットを考慮する必要があります

 - v1.18.0-devに更新します

バージョン 1.17.1 に更新してください:

 - copier.Get():xattrsをリストする際にENOTSUP/ENOSYSを無視します

 - copier:chroot()の前にnsswitchモジュールのロードの強制を試みます

 - ADD:URLの--chownを処理します

 - imagebuildah:キャッシュで画像フォーマットを考慮する必要があります

 - release-1.17ブランチのCI構成を更新します

buildahの実行に必要なcniをrequiresに追加しました

v1.17.0に更新します(boo#1165184)

 - 他のツールがコンテナをマウント/アンマウントするケースを処理します

 - overlay.MountReadOnly:RO overlayマウントをサポートします

 - オーバーレイ:ルートレスのアンマウントにfusermountを使用します

 - オーバーレイ:umountを修正します

 - BuildahのデフォルトのログレベルをWarnに切り替えます。ユーザーは、これらのメッセージを確認する必要があります

 - OCI/Dockerフォーマットに関するエラーメッセージを警告レベルにドロップします

 - build(deps):github.com/containers/commonを0.26.0から0.26.2に更新します

 - tests/testreport:ストレージv1.23.6のAPI破損の調整

 - build(deps):github.com/containers/storageを1.23.5から1.23.7に更新します

 - build(deps):github.com/fsouza/go-dockerclientを1.6.5から1.6.6に更新します

 - copier:put:Typeflag = 'g'を無視します

 - repoファイルを入手するためにcurlを使用します( #2714の修正)

 - build(deps):github.com/containers/commonを0.25.0から0.26.0に更新します

 - build(deps):github.com/spf13/cobraを1.0.0から1.1.1に更新します

 - borsを使用していないため、borsを参照するドキュメントを削除します

 - Buildah Budはデフォルトでstdinを使用すべきではありません

 - containerd、docker、およびgolang.org/x/sysを更新します

 - Makefile:cross:windows.386ターゲットを削除します

 - copier.copierHandlerPut:エラーがある場合は長さをチェックしません

 - 過剰なラッピングを停止します

 - CI:適合性テストに合格することを要求します

 - v1.1.8へのbump(github.com/openshift/imagebuilder)

 - tlsVerifyの安全でないBUILD_REGISTRY_SOURCESをスキップします

 - ビルドパスの間違ったコンテナ/podman#7993を修正します

 - pullpolicyをリファクタリングして、depsを回避します

 - build(deps):github.com/containers/commonを0.24.0から0.25.0に更新します

 - CI:より多くのメモリを使用してタスクのゲートを実行します

 - ADDおよびCOPY:除外されたディレクトリに移動することもあります

 - copier:コンテキストをいくつかのエラーメッセージにさらに追加します

 - copier:エラーを早期にチェックします

 - copier:成功時にデバッグとしてstderr出力をログに記録します

 - make nixpkgsでnix pinを更新します

 - IDマッピングでコピーされる場合、ディレクトリの所有権を設定します

 - build(deps):github.com/sirupsen/logrusを1.6.0から1.7.0に更新します

 - build(deps):github.com/containers/commonを0.23.0から0.24.0に更新します

 - Cirrus:borsアーティファクトを削除します

 - ビルドフラグ定義をアルファベット順にソートします

 - ADD:適切なタイミングでのみアーカイブを展開します

 - borsの構成を削除します

 - podmanビルドフラグのシェル完了

 - c/commonをv0.24.0に更新します

 - 新しいCIチェック:外部参照--helpとmanページ

 - CI:いくつかのlinterを再度有効にします

 - --userns-uid-map/--userns-gid-map の説明をbuildah manページに移動します

 - add:ADDされたアーカイブの所有権と権限を保存します

 - Makefile:クロスコンパイルターゲットを調整します

 - containers/commonをv0.23.0に更新します

 - chroot:bindマウントターゲット0700ではなく、0755を作成します

 - Split()への呼び出しをより安全なSplitN()に変更します

 - chroot:errno seccompルールの処理を修正します

 - build(deps):github.com/containers/image/v5を5.5.2から5.6.0に更新します

 - In Progressセクションをcontributingに追加します

 - 統合テスト:$(topdir)/testsでテストが必ず実行されるようにします

 - Run():Containers.confの環境構成を無視します

 - OCI形式でヘルスチェックを設定する際に警告を出します

 - Cirrus:ブランチでgit-validateをスキップします

 - tools:git-validationを最新のコミットに更新します

 - tools:golangci-lintをv1.18.0に更新します

 - pushコマンドのいくつかのテストを追加します

 - Add():ContextDirがない相対パスの処理を修正します

 - build(deps):github.com/containers/commonを0.21.0から0.22.0に更新します

 - Lint:podmanと同じlinterを使用します

 - 検証:参照HEAD

 - buildahマウントを修正し、idではなくコンテナ名が表示されるようにします

 - make nixpkgsでnix pinを更新します

 - manページからbuildahに欠落している--formatオプションを追加します

 - codespellに基づいてコードを修正します

 - build(deps):github.com/openshift/imagebuilderを1.1.6から1.1.7に更新します

 - build(deps):github.com/containers/storageを1.23.4から1.23.5に更新します

 - buildahの完了を改善します

 - Cirrus:コミットエポックの検証を修正します

 - マニフェストフラグのbashの完了を修正します

 - 一部のmanページを統一します

 - BuildahチュートリアルをBZ1867426に対処するように更新します

 - manifest add subコマンドのbashの完了を更新します

 - copier.Get():ハードリンクターゲットは相対パスであってはなりません

 - build(deps):github.com/onsi/gomegaを1.10.1から1.10.2に更新します

 - タイムスタンプを履歴行に渡します

 - 画像を検査するたびにタイムスタンプが更新されます

 - bud.bats:新しく追加されたテストで絶対パスを使用します

 - contrib/cirrus/lib.sh:ホスト名にCNを使用しません

 - tests:テストを追加します

 - manifest add manページを更新します

 - manifest addのフラグを拡張します

 - build(deps):github.com/containers/storageを1.23.3から1.23.4に更新します

 - build(deps):github.com/onsi/ginkgoを1.14.0から1.14.1に更新します

 - v1.17.0-devに更新します

 - CI:クロスコンパイルのチェックを拡張します

 - SLE:未使用のパッチを削除します:CVE-2019-10214.patch

v1.16.2に更新します

 - 32ビットアーキテクチャのビルドを修正します

 - containerImageRef.NewImageSource():常にタイムスタンプを強制するとは限りません

 - fuseモジュール警告をimage readmeに追加します

 - commit/pull/pushの再試行の際に再試行遅延オプションの値に注意します

 - seccompのためにcontainers/commonに切り替えます

 - --omit-timestampではなく--timestampを使用します

 - docs:期限切れの通知を削除します

 - docs:期限切れの通知を削除します

 - build-using-dockerfile:非表示の--log-rusageフラグを追加します

 - build(deps):github.com/containers/image/v5を5.5.1から5.5.2に更新します

 - ユーザーがoptions.Quietを設定した場合にReportWriterを破棄します

 - build(deps):github.com/containers/commonを0.19.0から0.20.3に更新します

 - COPY --fromを使用してコピーされたコンテンツの所有権を修正します

 - newTarDigester:tarヘッダーのタイムスタンプをゼロにします

 -「make nixpkgs」でnix pinを更新します

 - bud.bats:.dockerignore統合テストを修正します

 - コピーにパイプを使用します

 - run:エラーメッセージにstdoutを含めます

 - run:error.Wrapfに正しいエラーを使用します

 - copier:内部タイプをアンエクスポートします

 - copier:Mkdir()を追加します

 - in_podman:$CIRRUS_CHANGE_TITLEにつまずかないでください

 - docs/buildah-commit.md:一部の文言を微調整し、 --rmを追加します例

 - imagebuildah:COPYing時に宛先名を空白にしません

 - 関数の再試行をcommon/pkg/retryに置き換えます

 - StageExecutor.historyMatches:.Equalを使用してタイムスタンプを比較します

 - containers/commonのベンダーを更新します

 - coverityスキャンで見つかったエラーを修正します

 - podmanコマンドにより一致させるために、名前空間処理フラグを変更します

 - 適合性テスト:buildah.BuilderIdentityAnnotationラベルを無視します

 - containers/storage v1.23.0のベンダー

 - buildah.IsContainerインターフェイスを追加します

 - run_buildahがパイプに供給されないようにします

 - fix(buildahimage):buildahイメージにxz依存関係を追加します

 - github.com/containers/commonを次のように更新します: 0.15.2から0.18.0

 - OpenShiftからのルートレスイメージのビルド方法

 - buildah budに--omit-timestampフラグを追加します

 -「make nixpkgs」でnix pinを更新します

 - 失敗時にストレージをシャットダウンします

 - 引数が使用されるときにCOPY --fromを処理します

 - github.com/seccomp/containers-golangを0.5.0から0.6.0に更新します

 - Cirrus:新しくビルドされたVMイメージを使用します

 - github.com/opencontainers/runcを1.0.0-rc91から1.0.0-rc92に更新します

 - .dockerignore manページを強化します

 - conformance:サブディレクトリからのCOPYのテストを追加します

 - バグマニフェスト検査を修正します

 - .dockerignoreのドキュメントを追加します

 - BuilderIdentityAnnotationを追加して、buildahバージョンを識別します

 - DOC:quay.io/containers/buildahイメージをREADME.mdに追加します

 - buildahimages readmeを更新します

 -「info」コマンドの結果表示の誤字を修正します

 - ネットワークが存在しない場合、/etc/hostと/etc/resolv.confをバインドしません

 - blobcache:不要なNewImage()を回避します

 -「buildGoModule」で静的バイナリを構築します

 - copier:StripSetidBitsをStripSetuidBit/StripSetgidBit/StripStickyBitに分割します

 - tarFilterer:複数のアーカイブを処理します

 - 適合性テスト中に発生する競合を修正します

 - 適合性テストを修正します

 - 02-registries-repositories.mdを更新します

 - test-unit:cmd/buildahテストを--flagsで呼び出します

 - parse:テストでの型の不一致を修正します

 - tests/testreport/testreportのコンパイルを修正します

 - build.sh:使用しているGoのバージョンをログに記録します

 - test-unit:テストのタイムアウトを40/45分に増やします

 -「copier」パッケージを追加します

 - コードベースの問題のある言語に関する修正および注記の追加

 - github.com/stretchr/testify/requireに依存関係を追加します

 - CompositeDigester:tarストリームをフィルタリングする機能を追加します

 - BATS tests:堅牢性を強化します

 - ベンダーgolang.org/x/[email protected]

 - golang 1.12をgolang 1.13に切り替えます

 - imagebuildah:まだ開始していない可能性があるステージを待機します

 - chroot、run:/sysからのバインドマウントで失敗しません

 - chroot:ブロックされている場合は、setgroupsを使用しません

 - containers.confからエンジン環境を設定します

 - imagebuildah:適切なステージの画像を「最終」画像として返します

 - ヘルプ文字列を修正します

 - 環境変数の重複を排除します

 - containers/libpodをcontainers/podmanに切り替えます

 - github.com/containers/ocicryptを1.0.2から1.0.3に更新します

 - github.com/opencontainers/selinuxを1.5.2から1.6.0に更新します

 - /sys/devをマスクして情報漏洩を防止します

 - linux:ランタイムのkillからのエラーをスキップします

 - マスクブランチの/sys/fs/selinuxでマスクします

 - コンテナにVFSのイメージストアを追加します

 - tests:認証テストを追加します

 - マウントオプションで「ro」に対するエイリアスとして「readonly」を許可します

 - OS Xに固有の一貫性マウントオプションを無視します

 - github.com/onsi/ginkgoを1.13.0から1.14.0に更新します

 - github.com/containers/commonを0.14.0から0.15.2に更新します

 - Rootless Buildahは、デフォルトでIsolationOCIRootlessにする必要があります

 - imagebuildah:マルチステージビルドの継承を修正します

 - imagebuildah.BuildOptions.Architecture/OSをオプションにします

 - imagebuildah.BuildOptions.Jobsをオプションにします

 - imagebuildah.Executor.startStage()で起こり得る競合を解決します

 - スクリプトを切り替えて、containers.confを使用します

 - openshift/imagebuilderをv1.1.6に更新します

 - go.etcd.io/bboltを1.3.4から1.3.5に更新します

 - buildah、bud:並列実行の--jobs= Nをサポートします

 - executor:新しい関数内のビルドコードをリファクタリングします

 - bud回帰テストを追加します

 - Cirrus:レジストリイメージでのhtpasswdの欠落を修正します

 - docs:「triples」フォーマットを明確化します

 - CHANGELOG.md:markdownフォーマットを修正します

 - 静的ビルド用のnix派生を追加します

v1.15.1に更新します

 - マスクブランチの/sys/fs/selinuxでマスクします

 - chroot:ブロックされている場合は、setgroupsを使用しません

 - chroot、run:/sysからのバインドマウントで失敗しません

 - マウントオプションで「ro」に対するエイリアスとして「readonly」を許可します

 - コンテナにVFSのイメージストアを追加します

 - ベンダーgolang.org/x/[email protected]

 - imagebuildah.BuildOptions.Architecture/OSをオプションにします

v1.15.0に更新します

 - CHANGELOG.mdおよびchangelog.txtにCVE-2020-10696を追加します

 - lighttpdの例を修正します

 - openshift構造体の依存関係を削除します

 - 未設定のビルド引数に関する警告

 - vendor:seccomp/containers-golangをv0.4.1に更新します

 - docsを更新します

 - コメントをクリーンアップします

 - テストの終了コードを更新します

 - 暗号化のコミットを実装します

 - encrypt/decrypt push/pull/bud/fromの実装

 - dockerイメージ名のトランスポートとしての解決を修正します

 - 予備的なプロファイリングサポートをCLIに追加します

 - ビルドのコンテキストディレクトリのシンボリックリンクを評価します

 - containerImageSourceの署名の取得に関するエラー情報を修正します

 - セキュリティポリシーを追加します

 - Cirrus:レビューフィードバックからの修正

 - imagebuildah:ステージはベースイメージとしてカウントすべきではありません

 - containers/common v0.10.0を更新します

 - buildahimage Dockerfileにレジストリを追加します

 - Cirrus:事前にインストールされているVMパッケージ+ F32を使用します

 - Cirrus:すべてのdistroバージョンを再度有効にします

 - Cirrus:F31に更新し、キャッシュイメージを使用します

 - golangci-lint:gosimpleを無効にします

 - golangci-lintスレッドの数を減らします

 - containers.confに対する権限を修正します

 - テストにruncを使用するように強制しません

 - 失敗したコンテナからの終了コードを返します

 - cgroup_managerは[engine]の下にある必要があります

 - login/logoutでc/common/pkg/authを使用します

 - Cirrus:Ubuntu 19のテストを一時的に無効にします

 - containers.confをstablebyhandビルドに追加します

 - gitignoreを更新して、Dockerfileのテストを除外します

 - コンテナ内のsystemdに対する警告を削除します

 - CVE-2019-10214 に対するパッチを追加します。 boo#1144065

 + CVE-2019-10214.patch

podmanでの変更点:

v2.2.1への更新

 - 変更

 - 以前に削除したフィールドとの競合により、データベースでのイメージボリュームの処理方法(

 --mount type=imageを使用したコンテナへのイメージのマウント)を変更するよう強制されていました。その結果、イメージボリュームを使用してPodman 2.2.0で作成されたコンテナはv2.2.1ではなくなり、これらのコンテナを作り直す必要があります。

 - バグ修正

 - rootless Podmanが、XDG_RUNTIME_DIR環境変数が定義されていないシステムで、Podman一時停止プロセスのPIDファイルに対して不適切なパスを使用し、Podmanが起動に失敗するバグを修正しました(#8539)。

 - Podman v1.7以前を使用して作成されたコンテナが、JSONデコードエラーのためにPodmanで使用できないバグを修正しました(#8613)。

 - 実行していないコンテナについて、Podmanがエラーを起こすことなく、無効なcgroupパスを取得する可能性があるバグを修正しました。

 - podman system resetコマンドが、重複したシャットダウンハンドラーの登録に関する警告を出力するバグを修正しました。

 - rootless Podmanが許可されていない状況でsysfsのマウントを試みるバグを修正しました。一部のOCIランタイム(特にcrun)は代替にフォールバックして失敗しませんが、他のランタイム(特にrunc)はコンテナの実行に失敗します。

 - podman runおよびpodman createコマンドがタグなしイメージからのコンテナ作成に失敗するバグを修正しました(#8558)。

 - サーバーがパスワード認証をサポートしていない場合でも、リモートのPodmanがパスワードを要求するバグを修正しました(#8498)。

 - podman execコマンドが、execセッションのConmonプロセスを正しいcgroupに移動しないバグを修正しました。

 - podman ps --filterに対する上位オプションのシェル補完が正しく機能しないバグを修正しました。

 - コンテナを作成したPodmanコマンドが--log-level=debugで呼び出された場合、デタッチされたコンテナが自身を適切にクリーンアップ(または--rmが設定されている場合は自身を削除)しないバグを修正しました。

 - API

 - コンテナのCompat CreateエンドポイントがHostConfigのBindsおよびMountsパラメーターを適切に処理しないバグを修正しました。

 - コンテナのCompat CreateエンドポイントがNameクエリパラメーターを無視するバグを修正しました。

 - コンテナのCompat CreateエンドポイントがNetworkModeの「default」値を適切に処理しないバグを修正しました(この値は、docker-composeによって広く使用されています)(#8544)。

 - イメージのCompat Buildエンドポイントが、イメージのタグとしてターゲットクエリパラメーターを不適切に使用することがあるバグを修正しました。

 - その他

 - Podman v2.2.0は、github.com/spf13/cobraパッケージの非リリースカスタムバージョンをベンダー提供しました。これは、パッケージングに役立つ最新のUpstreamリリースに戻されました。

 - コンテナ/イメージライブラリをv5.9.0に更新しました

v2.2.0への更新

 - 機能

 - 短い名前のエイリアシングの実験的サポートが追加されました。これはデフォルトでは有効になっていませんが、環境変数CONTAINERS_SHORT_NAME_ALIASINGをオンに設定することで有効にできます。ドキュメントはあちこちで入手できます。

 - podman network connectおよびpodman networkdisconnectコマンドに対する初期サポートが追加されました。これにより、既存のコンテナは接続先のネットワークを変更できます。現在、これらのコマンドは、作成時に
 --network=noneが指定されていない実行中のコンテナでのみ使用できます。

 - podman runコマンドがネットワークエイリアス(dnsname CNIプラグインが使用されている場合、コンテナにDNSを介して他のコンテナからアクセスできる追加名)を設定する--network-aliasオプションをサポートするようになりました。新しいpodman network connectおよびpodman network disconnectコマンドを使用して、エイリアスを追加および削除することもできます。これを行うには、dnsnameプラグインの新しいリリース(v1.1.0)が必要であり、新しく作成されたCNIネットワークでのみ機能します。

 - podman generate kubeコマンドが、コンテナのメモリおよびCPU制限のエクスポートをサポートするようになりました(#7855)。

 - podman play kubeコマンドが、コンテナのCPUおよびメモリ制限の設定をサポートするようになりました(#7742)。

 - podman play kubeコマンドが、Podmanの名前付きボリュームを使用した永続ボリューム要求をサポートするようになりました。

 - podman play kubeコマンドが、--configmapオプションを介したKubernetes configmapをサポートするようになりました(#7567)。

 - podman play kubeコマンドが、作成されたコンテナのログドライバーを設定するための--log-driverオプションをサポートするようになりました。

 - podman play kubeコマンドが、ポッドを作成後に起動するための、デフォルトで有効な--startオプションをサポートするようになりました。これにより、podman play kubeをsystemdユニットファイルでより簡単に使用できるようになります。

 - podman network createコマンドが、作成されたネットワークのデュアルスタックIPv6ネットワークを有効にするための
 --ipv6オプションをサポートするようになりました(#7302)。

 - podman inspectコマンドが、コンテナとイメージに加えて、ポッド、ネットワーク、およびボリュームも検査できるようになりました(#6757)。

 - podman runおよびpodman createの--mountオプションが、新しいタイプのイメージをサポートするようになり、イメージのコンテンツをコンテナの所定の場所にマウントできるようになりました。

 - BashとZSHの補完が完全に作り直され、重要な機能強化が行われました。さらに、Fish補完およびpodman-remote実行可能ファイルの補完のサポートが追加されました。

 - podman createおよびpodman runの--log-optオプションが、コンテナのログの最大サイズを設定するためのmax-sizeオプションをサポートするようになりました(#7434)。

 - podman pod createコマンドの--networkオプションにより、rootとして実行した場合でも、slirp4netnsネットワーキングを使用するようにポッドを構成できるようになりました(#6097)。

 - podman pod stop、podman pod pause、podman pod unpause、およびpodman pod killコマンドが、複数のコンテナで並行して動作するようになり、大幅に高速化されます。

 - podman searchコマンドが、単一リポジトリ内の単一イメージに対して利用可能なすべてのタグを一覧表示する--list-tagsオプションをサポートするようになりました。

 - podman commandコマンドが、
 --format=jsonオプションを使用してJSONを出力できるようになりました。

 - podman diffおよびpodman mountコマンドが、Podmanによって作成されたものを含めて、ストレージライブラリのすべてのコンテナで動作するようになりました。これにより、BuildahおよびCRI-Oコンテナでこれらを使用できます。

 - podman container existsコマンドに、
 コンテナがPodmanだけでなくストレージライブラリにも存在するかどうかをチェックするための--externalオプションが追加されました。これにより、PodmanはBuildahおよびCRI-Oコンテナを識別できるようになります。

 - --tls-verifyおよび--authfileオプションが、リモートPodmanで使用できるようになりました。

 - コンテナが--net=noneで実行される場合、/etc/hostsファイルにコンテナの名前とホスト名(両方ともlocalhostを指す)が含まれるようになりました(#8095)。

 - podman eventsコマンドが、--filter label=key=valueオプションを使用する際に、イベントが発生したコンテナのラベルに基づくイベントのフィルタリングをサポートするようになりました。

 - podman volume lsコマンドが、--filter label =key=valueオプションを使用したラベルに基づくボリュームのフィルタリングをサポートするようになりました。

 - podman runおよびpodman createの--volumeおよび--mountオプションが、unbindableおよびrunbindableの2つの新しいマウント伝播オプションをサポートするようになりました。

 - podman pod psのnameおよびidフィルターが、完全一致を必須とするのではなく、正規表現に基づいて一致するようになりました。

 - podman pod psコマンドが、特定の状態のポッドに一致する新しいフィルターステータスをサポートするようになりました。

 - 変更

 - podman network rm --forceコマンドにより、ネットワークを使用しているポッドも削除されるようになりました(#7791)。

 - podman volume rm、podman network rm、およびpodman pod rmコマンドが、削除のために指定されたオブジェクトが存在しない場合は終了コード1を返し、オブジェクトが使用中で--forceオプションが指定されていない場合は終了コード2を返すようになりました。

 - /dev/fuseがデバイスとしてPodmanコンテナに渡される場合、Podmanはコンテナを起動する前にこれを開き、カーネルモジュールがホストにロードされ、デバイスがコンテナで使用できるようにします。

 - リモート操作でサポートされていないグローバルなPodmanオプションがpodman-remoteから削除されました(--cgroup-manager、--storage-driverなど)。

 - 繰り返しを削除し、何が間違っているかをより明確にするために、多くのエラーが変更されました。

 - podman rmの--storageオプションがデフォルトで有効になり、セマンティクスが少し変更されました。与えられたコンテナがPodmanに存在せず、ストレージライブラリに存在する場合、次のオプションがない場合でも削除されます:
 --storage オプション。コンテナがPodmanに存在する場合は正常に削除されます。podman rmの--storageオプションは廃止され、将来のリリースで削除されます。

 -podman psの--storageオプションが
 --externalに名前変更されました。オプションの古い形式が引き続き機能するように、エイリアスが追加されました。

 - Podmanは、コンテナの作成により発生する可能性があるリソース漏洩のためにPodmanが途中で停止しないように、コンテナ作成中はSIGTERMおよびSIGINTシグナルを遅延させます(#7941)。

 - podman saveコマンドは、エクスポート先の形式が署名をサポートしていないため、エクスポートするイメージから署名を削除するようになりました(#7659)。

 - 新しい低下状態がポッドに追加されました。すべてではないが一部のコンテナが実行されているポッドは、実行中ではなく低下と見なされます。

 - ポート転送に関連する、競合するネットワークオプション(--publish、
 --net=hostなど)がコンテナの作成時に指定された場合、Podmanは警告を出力するようになりました。

 - コンテナの--restart on-failureと--rmオプションは競合しなくなりました。両方が指定された場合、コンテナはゼロ以外のエラーコードで終了したときは再起動され、正常に終了したときは削除されます(#7906)。

 - Remote Podmanは、クライアントのcontainers.confの設定を使用しなくなります。その代わりに、デフォルトがサーバーのcontainers.confによって提供されます(#7657)。

 - podman network rmコマンドに、新しいエイリアスpodman network removeが追加されました(#8402)。

 - バグ修正

 - ディレクトリのロードを試行する際に、リモートクライアントでのpodmanのロードでエラーが発生しないバグを修正しました。これは、リモート使用ではまだサポートされていません。

 - newuidmapバイナリがインストールされていない場合に、rootless Podmanがハングアップする可能性があるバグを修正しました(#7776)。

 - podman run、podman create、およびpodman buildの--pullオプションがDockerの動作と一致しないバグを修正しました。

 - コンテナがsysctlに関連する名前空間に参加しなかった場合でも、containers.conf構成ファイルのsysctl設定が適用されるバグを修正しました。

 - コンテナのヘルスチェックの実行を試行する際、Podmanが発生したエラーのテキストを返さないバグを修正しました。

 - Podmanが、想定されるコンテナ環境変数以外に、コンテナ環境変数を誤って設定していたバグを修正しました。

 - CNIネットワーキングを使用しているrootless Podmanが、削除されたコンテナのDNSエントリを適切にクリーンアップしないバグを修正しました(#7789)。

 - podman untag --allコマンドがリモートのPodmanでサポートされないバグを修正しました。

 - アクティブなアタッチ接続が存在していても、podman system serviceコマンドがタイムアウトする可能性のあるバグを修正しました(#7826)。

 - アクティブな接続がなくても、podman system serviceコマンドがタイムアウトしない場合があるバグを修正しました。

 - 特に継承可能な機能のPodmanの処理がDockerの処理と一致しないバグを修正しました。

 - 指定されたイメージがマニフェストリストであり、すでにプルされている場合に、podman runが失敗するバグを修正しました(#7798)。

 - ローカルでイメージを検索する際に、Podmanで検索レジストリを考慮されないバグを修正しました(#6381)。

 - すでにプルされているイメージで、podman manifest inspectコマンドが失敗するバグを修正しました(#7726)。

 - グループではなくユーザーがpodman createとpodman runの--userオプションで設定され、グループに追加できる十分なGIDがあった場合に、rootless Podmanがコンテナに補足のGIDを追加しないバグを修正しました(#7782)。

 - ユーザーがポッドまたはコンテナの短いIDの可能性もある名前を提供した場合に、リモートのPodmanコマンドが適切に処理しないバグを修正しました(#7837)。

 - podman image pruneの実行後に、podman image pruneがイメージをプルーニング可能な状態のままにするバグを修正しました(#7872)。

 - journaldログドライバーを指定したpodman logsコマンドがすべての利用可能なログを読み込まないバグを修正しました(#7476)。

 - podman createとpodman runの--rmおよび--restartオプションが、失敗していない再起動ポリシーが選択された際に競合しないバグを修正しました#7878( )。

 - 多数のPodmanコマンドに対する --format 'table (( .Field ))'オプションが、Podman v2.0以降で機能しなくなるバグを修正しました。

 - ポッドがコンテナ間でSELinuxラベルを適切に共有しないバグを修正しました。このバグにより、ポッドがPID名前空間を共有する際に、コンテナは他のコンテナのプロセスを確認できません(#7886)。

 - podman psの--namespaceオプションがリモートクライアントで動作しないバグを修正しました(#7903)。

 - 複数の異なる範囲のUIDが指定された場合、rootless Podmanがコンテナで利用可能なUIDの数を正確に計算できないバグを修正しました。

 - ユーザーの名前空間のコンテナに対して/etc/hostsファイルが適切に入力されないバグを修正しました(#7490)。

 - podman network createおよびpodman network removeコマンドが並列して実行されると競合し、予測できない結果となるバグを修正しました(#7807)。

 - podman run、podman create、およびpodman pod createの-pオプションが、単一の番号(例:-p 80)のみ与えられた場合に、ランダムのホストポートを生成するのではなく、ホストとコンテナの両方に同じポートを割り当てるバグを修正しました(#7947)。

 - Podmanコンテナが、その作成に使用されたcgroupマネージャを適切に保存しないバグを修正しました。このバグにより、cgroupマネージャがcontainers.confまたは--cgroup-managerオプションで変更された後に、Podmanコンテナが機能を停止します(#7830)。

 - podman inspectコマンドが、コンテナが実行されていない場合に、コンテナの接続先CNIネットワークの情報を含まないバグを修正しました。

 - podman attachコマンドが、コンテナからのデタッチ後に改行を出力しないバグを修正しました(#7751)。

 - --userns=keep-idオプションが設定されている場合、HOME環境変数がコンテナで適切に設定されないバグを修正しました(#8004)。

 - 該当するコンテナがポッド内にある場合に、podman container restoreコマンドがパニック状態になる可能性があるバグを修正しました(#8026)。

 - podman image trust show --rawコマンドの出力が適切にフォーマットされないバグを修正しました。

 - 実行するラベルが与えられていない場合に、podman runlabelコマンドがパニック状態になる可能性があるバグを修正しました(#8038)。

 - podman runおよびpodman start
 --attachコマンドが、ユーザーがリモートのPodmanにデタッチキーを使用して手動でデタッチした場合にエラーで終了するバグを修正しました(#7979)。

 - dnsname CNIプラグインがルートレスネットワーキングに使用されるコンテナでは常に利用可能であるにもかかわらず、ホストで利用できない場合に、ルートレスCNIネットワーキングがdnsname CNIプラグインを使用しないバグを修正しました(#8040)。

 - Podmanが、OCIランタイムがそのフルパスで指定されるケースを適切に処理せず、その後の呼び出しでシステムの$PATHに存在する同じバイナリパスで別のOCIランタイムを再び使用するようになるバグを修正しました。

 - podman createおよびpodman runの--net=hostオプションにより、/etc/hostsファイルが不適切に入力されるバグを修正しました(#8054)。

 - コンテナがそのネットワーク名前空間を共有する(つまり、
 --net=container: ...を介してポッドまたは別のコンテナのネットワーク名前空間に参加する)ときに、podman inspectコマンドがコンテナネットワーク情報を含まないバグを修正しました(#8073)。

 - podman psコマンドが、コンテナが公開しているすべてのポートの情報を含まないバグを修正しました。

 - podman buildコマンドがRUN命令からビルドコンテナにSTDINを不適切に転送するバグを修正しました。

 - 期間に対して単位が指定されない場合に、podman waitコマンドの--intervalオプションが機能しないバグを修正しました(#8088)。

 - --detach-keysおよび--detachオプションが、効果がない(そのコンテキストでは意味がない)にもかかわらず、podman createに渡される可能性のあるバグを修正しました。

 - /etc/resolv.confファイルのないシステムで実行した場合に、Podmanがコンテナを起動できないバグを修正しました(一部のWSL2イメージで発生します)(#8089)。

 - podman cpの--extractオプションが機能しないバグを修正しました。

 - コンテナが--detachを指定して実行されていない場合に、podman runの--cidfileオプションが、コンテナの終了後にのみファイルを作成するバグを修正しました(#8091)。

 - 特定の不適切にフォーマットされたイメージがストレージに存在する場合、podman imagesおよびpodman images -aコマンドがパニック状態になり、イメージが一覧表示されないバグを修正しました(#8148)。

 - journaldイベントバックエンドが使用されている場合、不適切にフォーマットされたイベントまたは特定の文字列を含むログメッセージがジャーナルに存在すると、podman eventsコマンドが機能しなくなる可能性があるバグを修正しました(#8125)。

 - SSHトランスポートを使用する場合、リモートのPodmanが22以外のポートに接続する際に、ホストキーを使用してサーバーに対して認証を行わないバグを修正しました(#8139)。

 - コンテナが停止したときにpodman attachコマンドが終了しないバグを修正しました(#8154)。

 - Podmanがパスを検証前に適切に消去しないバグを修正しました。このバグにより、rootまたは一時ディレクトリが余分な末尾の/文字を付けて指定された場合に、Podmanが起動を拒否します(#8160)。

 - リモートのPodmanが、接続を確立するためのホスト上のknown_hostsファイルにおけるハッシュされたホスト名をサポートしないバグを修正しました(#8159)。

 - podman image existsコマンドが、与えられた名前に一致する名前が複数存在する可能性がある場合にゼロ以外(false)を返すバグを修正しました。

 - マニフェストリストではないイメージに対してpodman manifest inspectコマンドを実行すると、イメージが検査されずにエラーになるバグを修正しました(#8023)。

 - Unixソケットが内部に作成されるディレクトリが存在しない場合に、podman system serviceコマンドが失敗するバグを修正しました(#8184)。

 - IPC名前空間を共有する(デフォルトで行われる)ポッドが、ポッド内のすべてのコンテナ間で/dev/shmファイルシステムを共有しないバグを修正しました(#8181)。

 - podman volume listに渡されるフィルターが包括的でないバグを修正しました(#6765)。

 - podman volume createコマンドが、ボリュームのデータディレクトリがすでに存在する場合に(ボリュームが完全に削除されなかったときに発生する可能性がある)失敗するバグを修正しました(#8253)。

 - 複数のロケーションで同じ名前のボリュームをマウントするコンテナを作成しようとすると、podman runとpodman createコマンドでデッドロックが発生するバグを修正しました(例:podman run -v testvol: /test1 -v testvol: /test2)(#8221)。

 - podman buildの--netオプションの解析が正しくないバグを修正しました(#8322)。

 - リモートのPodmanを使用している場合、podman buildコマンドが、ビルドされたイメージのIDを2回出力するバグを修正しました(#8332)。

 - podman statsコマンドがコンテナのメモリ制限を表示しないバグを修正しました(#8265)。

 - podman pod inspectコマンドがポッドの静的MACアドレスを人間が読み取れない形式で出力するバグを修正しました(#8386)。

 - podman play kubeコマンドの--tls-verifyオプションのロジックが反転するバグを修正しました(falseを設定するとTLSの使用が強制され、trueを設定すると無効になります)。

 - podman network rmコマンドが、macvlanネットワークおよびルートレスCNIネットワークを削除しようとするとエラーになるバグを修正しました(#8491)。

 - 欠落しているXDG_環境変数に対して、Podmanが適切なデフォルト値を設定しないバグを修正しました。

 - リモートのPodmanが、コンテナにマウントされるボリュームパスがサーバーではなくホストに存在するかどうかをチェックするバグを修正しました(#8473)。

 - ローカルイメージ上のpodman manifest createおよびpodman manifest addコマンドがホストにプルされないマニフェストのイメージをドロップするバグを修正しました。

 - podman network createで作成されたネットワークに調整プラグインが含まれず、それ自体カスタムMACアドレスの設定をサポートしないバグを修正しました(#8385)。

 - ヘルスチェックを実行するためにPodman実行可能ファイルを検索する際に、コンテナヘルスチェックが$PATHを使用しないバグを修正しました。

 - podman network createの--ip-rangeオプションが、DHCP割り当てに対して最後に使用可能なIPを計算する際に、クラスフルでないサブネットを適切に処理しないバグを修正しました(#8448 )。

 - podman psのpodman container psエイリアスがないバグを修正しました(#8445)。

 - API

 - コンテナ用のCompat Createエンドポイントは、Libpod Createエンドポイントとの間でより多くのコードを共有するための重要なリファクタリングを受け取り、安定性を大幅に向上する必要があります。

 - 複数のイメージを一度にエクスポートするためのCompatエンドポイントであるGET/images/getが追加されました(#7950)。

 - Compat Network ConnectおよびNetwork Disconnectエンドポイントが追加されました。

 - イメージレジストリを処理するエンドポイントが、レジストリ認証構成を指定するためにX-Registry-Configヘッダーをサポートするようになりました。

 - イメージのCompat Createエンドポイントが、ダイジェストによるイメージの指定を適切にサポートするようになりました。

 - イメージのLibpod Buildエンドポイントが、httpproxyクエリパラメーターをサポートするようになりました。trueに設定した場合、サーバーのHTTPプロキシ設定がRUN命令用のビルドコンテナに転送されます。

 - 削除するリポジトリとタグが指定されていない場合、イメージのLibpod Untagエンドポイントは与えられたイメージのすべてのタグを削除するようになりました。

 - Pingエンドポイントでヘッダー名のスペルが間違っているバグを修正しました(Libpod-Buildha-VersionではなくLibpod-Buildah-Versionが正しい)。

 - Pingエンドポイントが、Dockerでは行われない、応答の最後に余分な改行を送信するバグを修正しました。

 - コンテナのCompat Logsエンドポイントが各ログ行の後に改行文字を送信しないバグを修正しました。

 - コンテナのCompat Logsエンドポイントが行末をマングルして改行文字を変更し、先行するキャリッジリターンを追加するバグを修正しました(#7942)。

 - コンテナのCompat Inspectエンドポイントがコンテナの停止信号を適切にリストしないバグを修正しました(#7917)。

 - コンテナのCompat Inspectエンドポイントがコンテナの作成時間を間違ってフォーマットするバグを修正しました(#7860)。

 - コンテナのCompat Inspectエンドポイントがコンテナのパス、引数、および再起動回数を含まないバグを修正しました。

 - コンテナのCompat InspectエンドポイントがCAP_で追加および削除された機能にプレフィックスを付けるバグを修正しました(Dockerはこれを行いません)。

 - EngineのCompat Infoエンドポイントに構成済みレジストリが含まれないバグを修正しました。

 - クライアントがイメージプルにより途中で接続を閉じた場合に、サーバーがパニック状態になるバグを修正しました(#7896)。

 - ボリュームのCompat Createエンドポイントが、同じ名前のボリュームがすでに存在する場合に、201コードで成功する代わりにエラーを返すバグを修正しました(#7740)。

 - クライアントがLibpodイベントまたはCompatイベントのエンドポイントから切断されると、サーバーがCPUを100%使用する可能性があるバグを修正しました(#7946)。

 - イメージのCompat Inspectエンドポイントによって送信された「no such image」エラーメッセージが、Dockerの互換性のために不適切にフォーマットされたエラーとともに404ステータスコードを返すバグを修正しました。

 - ネットワークのCompat Createエンドポイントが、ドライバーパラメーターのデフォルトがクライアントから提供されない場合にそのデフォルトを適切に設定しないバグを修正しました。

 - イメージのCompat Inspectエンドポイントが応答のRootFSフィールドを入力しないバグを修正しました。

 - イメージのCompat Inspectエンドポイントが、イメージに親がない場合はParentIdフィールドを省略し、イメージに作成時間がない場合はCreatedフィールドを省略するバグを修正しました。

 - ネットワークのCompat RemoveエンドポイントがForceクエリパラメーターをサポートしないバグを修正しました。

ソリューション

影響を受けるbuildah/libcontainers-common/podmanパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1144065

https://bugzilla.opensuse.org/show_bug.cgi?id=1165184

プラグインの詳細

深刻度: High

ID: 146649

ファイル名: openSUSE-2021-310.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2021/2/22

更新日: 2024/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 7.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2020-10696

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:buildah, p-cpe:/a:novell:opensuse:libcontainers-common, p-cpe:/a:novell:opensuse:podman, p-cpe:/a:novell:opensuse:podman-cni-config, cpe:/o:novell:opensuse:15.2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2021/2/19

脆弱性公開日: 2019/11/25

参照情報

CVE: CVE-2019-10214, CVE-2020-10696