openSUSE 15 セキュリティ更新: containerd、docker (openSUSE-SU-2022:0334-1)

high Nessus プラグイン ID 157398

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SUSE15 ホストには、openSUSE-SU-2022:0334-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Moby は、ソフトウェアのコンテナ化を可能にするために Docker によって作成されたオープンソースプロジェクトです。Moby (Docker Engine) でバグが見つかりました。「docker cp」を使用してファイルを特別に細工されたコンテナにコピーしようとすると、ホストファイルシステムの既存のファイルに対する Unix ファイルの権限が変更され、他のファイルへのアクセスが拡大する可能性があります。このバグがあるため、追加の連携プロセスなしに直接ファイルの読み込み、変更、実行ができません。このバグは、Moby (Docker Engine) 20.10.9で修正されています 。ユーザーは、できるだけ早くこのバージョンに更新する必要があります。実行中のコンテナを再起動する必要はありません。(CVE-2021-41089)

- Moby は、ソフトウェアのコンテナ化を可能にするために Docker によって作成されたオープンソースプロジェクトです。Moby (Docker Engine) にバグが見つかりました。データディレクトリ (通常は「/var/lib/docker」) に十分に制限されていない権限があるサブディレクトリがあり、権限のない Linux ユーザーがディレクトリの内容をトラバースしてプログラムを実行する可能性があります。コンテナに拡張権限ビット (「setuid」など) のある実行可能プログラムが含まれている場合、権限のない Linux ユーザーがそれらのプログラムを発見して実行する可能性があります。ホスト上の権限のない Linux ユーザーの UID がコンテナ内のファイル所有者またはグループと競合すると、ホスト上の権限のない Linux ユーザーがこれらのファイルを検出、読み取り、変更する可能性があります。このバグは、Moby (Docker Engine) 20.10.9で修正されています 。ユーザーは、できるだけ早くこのバージョンに更新する必要があります。権限を修正するには、実行中のコンテナを停止して再起動する必要があります。アップグレードできないユーザーのために、ホストへのアクセスを信頼できるユーザーに制限します。ホストボリュームへのアクセスを信頼できるコンテナに制限します。
(CVE-2021-41091)

- Docker CLI は、docker コンテナランタイム用のコマンドラインインターフェイスです。Docker CLI で、実行することができない「credsStore」または「credHelpers」をリストする、誤って構成された構成ファイル (通常は「~/.docker/config.json」) で「docker login my-private-registry.example.com」を実行するバグが見つかりました。提供された認証情報が、意図されたプライベートレジストリではなく、「registry-1.docker.io」に送信されます。このバグは、Docker CLI 20.10.9で修正されています。ユーザーは、できるだけ早くこのバージョンに更新する必要があります。更新できないユーザーの場合、構成ファイルの構成済み credsStore または credHelpers エントリが、実行可能で PATH 上にあるインストール済みの認証ヘルパーを確実に参照するようにしてください。
(CVE-2021-41092)

- containerd は、シンプルさ、堅牢性、およびポータビリティに重点を置いたオープンソースのコンテナランタイムです。
containerd にバグが見つかりました。コンテナ root ディレクトリおよび一部のプラグインが十分に制限されていない権限があり、権限のない Linux ユーザーがディレクトリの内容をトラバースしてプログラムを実行する可能性があります。コンテナに拡張権限ビット (setuid など) のある実行可能プログラムが含まれている場合、権限のない Linux ユーザーがそれらのプログラムを発見して実行する可能性があります。ホスト上の権限のない Linux ユーザーの UID がコンテナ内のファイル所有者またはグループと競合すると、ホスト上の権限のない Linux ユーザーがこれらのファイルを検出、読み取り、変更する可能性があります。この脆弱性は、containerd 1.4.11およびcontainerd1.5.7で修正されました。ユーザーは、リリースされたときにこれらのバージョンに更新する必要があり、この脆弱性を緩和するためにコンテナを再起動するか、ディレクトリ権限を更新する可能性があります。アップグレードできないユーザーは、ホストへのアクセスを信頼できるユーザーに制限する必要があります。コンテナバンドルディレクトリのディレクトリ権限を更新してください。(CVE-2021-41103)

- OCI Distribution Spec プロジェクトは、コンテンツの配布を容易にし、標準化する API プロトコルを定義しています。バージョン 1.0.0以前の OCI Distribution Specification では、プッシュおよびプル操作中にドキュメントのタイプを判断するために Content-Type ヘッダーのみが使用されていました。manifests と layers の両方のフィールドを含むドキュメントは、付随する Content-Type ヘッダーがない場合、マニフェストまたはインデックスとして解釈される可能性があります。Content-Type ヘッダーが同じダイジェストの 2 つのプルの間に変更された場合、クライアントは結果のコンテンツを異なる方法で解釈する可能性があります。OCI Distribution Specification が更新され、マニフェストまたはインデックスに存在する mediaType の値が、プッシュおよびプル操作中に使用される Content-Type ヘッダーと一致することが要求されるようになりました。仕様のバージョン 1.0.1に更新できない場合、レジストリからプルするクライアントは、Content-Type ヘッダーを信頼せず、manifests と layers の両方のフィールド、または manifests と config の両方のフィールドを含むあいまいなドキュメントを拒否する可能性があります。(CVE-2021-41190)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1191015

https://bugzilla.suse.com/1191121

https://bugzilla.suse.com/1191334

https://bugzilla.suse.com/1191434

https://bugzilla.suse.com/1193273

http://www.nessus.org/u?d043fabc

https://www.suse.com/security/cve/CVE-2021-41089

https://www.suse.com/security/cve/CVE-2021-41091

https://www.suse.com/security/cve/CVE-2021-41092

https://www.suse.com/security/cve/CVE-2021-41103

https://www.suse.com/security/cve/CVE-2021-41190

プラグインの詳細

深刻度: High

ID: 157398

ファイル名: openSUSE-2022-0334-1.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2022/2/5

更新日: 2023/11/17

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2021-41103

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:novell:opensuse:15.3, p-cpe:/a:novell:opensuse:docker-fish-completion, p-cpe:/a:novell:opensuse:containerd-ctr, p-cpe:/a:novell:opensuse:docker-kubic-kubeadm-criconfig, p-cpe:/a:novell:opensuse:docker-bash-completion, p-cpe:/a:novell:opensuse:docker-kubic-zsh-completion, p-cpe:/a:novell:opensuse:docker, p-cpe:/a:novell:opensuse:containerd, p-cpe:/a:novell:opensuse:docker-kubic-fish-completion, p-cpe:/a:novell:opensuse:docker-kubic, p-cpe:/a:novell:opensuse:docker-kubic-bash-completion, p-cpe:/a:novell:opensuse:docker-zsh-completion

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/2/4

脆弱性公開日: 2021/9/30

参照情報

CVE: CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103, CVE-2021-41190