検出

Oracle Linux 8 : container-tools:ol8 (ELSA-2025-1372)

high Nessus プラグイン ID 216327

Language:

概要

リモートの Oracle Linux ホストにセキュリティ更新プログラムがありません。

説明

リモートの Oracle Linux 8 ホストに、ELSA-2025-1372 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

 aardvark-dns buildah [2:1.33.12-1]
 - https://github.com/containers/buildah/tree/release-1.33(https://github.com/containers/buildah/commit/58af1cd の最新コンテンツに更新してください)
 - 解決: RHEL-67612

 cockpit-podman conmon containernetworking-plugins containers-common [1-82.0.1]
 - 削除した参照を更新 [Orabug: 33473101] (Alex Burmashev)
 - registries.conf を調整 (Nikita Gerasimov)
 - RedHat レジストリへの参照を削除 (Nikita Gerasimov)

 [2:1-82]
 - ベンダーのコンポーネントを更新
 - 解決: RHEL-40801

 [2:1-81]
 - Pyxis から shortnames を更新
 - 関連: Jira:RHEL-2110

 [2:1-80]
 - リリースを更新して、アップグレードパスを保持します
 - 解決: Jira:RHEL-12277

 [2:1-59]
 - ベンダーのコンポーネントを更新
 - 関連: Jira:RHEL-2110

 [2:1-58]
 - ベンダーのコンポーネントを更新
 - 関連: Jira:RHEL-2110

 [2:1-57]
 - rhel-minimal の shortnames を修正
 - 関連: Jira:RHEL-2110

 [2:1-56]
 - redhat-release から GPG 自動更新メカニズムを実装
 - 解決: #RHEL-2110

 [2:1-55]
 - GPG キーを redhat-release の現在のコンテンツに更新
 - 解決: RHEL-3164

 [2:1-54]
 - ベンダーのコンポーネントおよび shortnames を更新
 - 関連: #2176055

 [2:1-53]
 - ベンダーのコンポーネントを更新
 - 関連: #2176055

 [2:1-52]
 - ベンダーのコンポーネントを更新
 - 関連: #2176055

 [2:1-51]
 - default_capabilities に SYS_CHROOT が含まれていることを確認
 - 解決: #2166195

 [2:1-50]
 - shortnames 生成を改善
 - 関連: #2176055

 [2:1-49]
 - ベンダーのコンポーネントと設定ファイルを更新
 - 関連: #2123641

 [2:1-48]
 - ベンダーのコンポーネントと設定ファイルを更新
 - 関連: #2123641

 [2:1-47]
 - RHEL8 に対してのみ NET_RAW 機能を有効にする
 - 関連: #2123641

 [2:1-46]
 - ベンダーのコンポーネントと設定ファイルを更新
 - 関連: #2123641

 [2:1-45]
 - ベンダーのコンポーネントと設定ファイルを更新
 - 関連: #2123641

 [2:1-44]
 - ベンダーのコンポーネントと設定ファイルを更新
 - 関連: #2123641

 [2:1-43]
 - ベンダーのコンポーネントと設定ファイルを更新
 - 関連: #2123641

 [2:1-42]
 - ベンダーのコンポーネントと設定ファイルを更新
 - 関連: #2123641

 [2:1-41]
 - ベータ GPG キーを追加
 - 関連: #2123641

 [2:1-40]
 - ベータキーを default-policy.json に追加
 - 関連: #2061390

 [2:1-39]
 - shortnames を更新
 - 関連: #2061390

 [2:1-38]
 - go-md2man による arch 制限 (i686 にない)
 - 関連: #2061390

 [2:1-37]
 - install セクションを追加
 - ベンダーのコンポーネントを更新
 - 関連: #2061390

 [2:1-36]
 - 別々にパッケージされていた aardvark-dns および netavark を削除
 - ベンダーのコンポーネントと設定ファイルを更新
 - 関連: #2061390

 [2:1-35]
 - ベンダーのコンポーネントと設定ファイルを更新
 - 関連: #2061390

 [2:1-34]
 - shortnames を更新し、rhel-els を必ず削除
 - 関連: #2061390

 [2:1-33]
 - shortnames を更新
 - 関連: #2061390

 [2:1-32]
 - 不適格なレジストリに対する追加修正
 - 関連: #2061390

 [2:1-31]
 - 不適格なレジストリを修正
 - 関連: #2061390

 [2:1-30]
 - ベンダーのコンポーネントと設定ファイルを更新
 - 関連: #2061390

 [2:1-29]
 - 不適格レジストリリストを更新
 - 関連: #2061390

 [2:1-28]
 - aardvark-dns および netavark を 1.0.3 に更新
 - ベンダーのコンポーネントを更新
 - 関連: #2061390

 [2:1-27]
 - man ページソースも追加
 - 関連: #2061390

 [2:1-26]
 - Fedora から欠落している man ページを追加
 - 関連: #2061390

 [2:1-25]
 - Upstream ブランチからの aardvark-dns および netavark の消費を許可
 - 関連: #2061390

 [2:1-24]
 - netavark および aardvark-dns 1.0.2 を更新
 - ベンダーのコンポーネントを更新
 - 関連: #2061390

 [2:1-23]
 - netavark および aardvark-dns 1.0.1 を更新
 - 関連: #2001445

 [2:1-22]
 - ExecShield を満足させるように設定された RUSTFLAGS で chromium パッケージをビルド
 - 関連: #2001445

 [2:1-21]
 - containers.conf で infra_image を指定しない
 - ゲーティングテストの失敗を解決するために必要
 - 関連: #2001445

 [2:1-20]
 - netavark-1.0.0 および aardvark-dns-1.0.0 を更新
 - 関連: #2001445

 [2:1-19]
 - containers-common の一部として aarvark-dns および netavark をパッケージ化
 - 関連: #2001445

 [2:1-18]
 - shortnames およびベンダーのコンポーネントを更新
 - 関連: #2001445

 [2:1-17]
 - RHEL8.6 では、contains.conf に network_backend = 'cni' を含める必要がある
 - 関連: #2001445

 [2:1-16]
 - ベンダーのコンポーネントと設定ファイルを更新
 - 関連: #2001445

 [2:1-15]
 - ベンダーのコンポーネントを同期
 - 関連: #2001445

 [2:1-14]
 - ベンダーのコンポーネントを同期
 - 関連: #2001445

 [2:1-13]
 - Pyxis から shortnames を更新
 - 関連: #2001445

 [2:1-12]
 - Pyxis からの破損したコンテンツが shortnames.conf に入ることを許可しない
 - 関連: #2001445

 [2:1-11]
 - ベンダーのコンポーネントを同期
 - Pyxis から shortnames を更新
 - 関連: #2001445

 [2:1-10]
 - RHEL9 に対して log_driver = 'journald' および events_logger = 'journald' を使用
 - 関連: #2001445

 [2:1-9]
 - メインブランチではなく、c/common の最も古いベンダー化バージョンから seccomp.json を消費
 - 関連: #2001445

 [2:1-8]
 - ベンダーのコンポーネントを更新
 - 関連: #2001445

 [2:1-7]
 - containers.conf で log_driver = 'k8s-file' をデフォルトにする
 - 関連: #2001445

 [2:1-6]
 - ベンダーのコンポーネントを同期
 - 関連: #2001445

 [2:1-5]
 - 新しいベンダーのコンポーネントへの更新
 - 関連: #2001445

 [2:1-4]
 - 新しいベンダーのコンポーネントへの更新
 - 関連: #2001445

 [2:1-3]
 - 新しいベンダーのコンポーネントへの更新
 - 関連: #2001445

 [2:1-2]
 - RHEL-8.5 の設定ファイルを同期
 - 関連: #1934415

 [2:1-1]
 - 初期インポート
 - 関連: #1934415

 container-selinux criu crun fuse-overlayfs libslirp netavark oci-seccomp-bpf-hook podman [4.9.4-19.0.1]
 - cgroupv2 で作成されたコンテナが cgroupv1 で起動しない問題を修正 [Orabug: 36136813]
 - cgroupv2 でホストを再起動した後にコンテナのメモリ制限が設定されない問題を修正 [Orabug: 36136802]
 - podmansh 使用中の podman execvp エラーの問題を修正 [Orabug: 36756665]

 [4:4.9.4-19]
 - https://github.com/containers/podman/tree/v4.9-rhel(https://github.com/containers/podman/commit/bfdd4c2 の最新コンテンツに更新してください)
 - 解決: RHEL-67601

 python-podman [4.9.0-3]
 - リリース 4.9 ブランチと同期
 - 解決: RHEL-31069

 runc [1:1.1.12-6]
 - Kir Konishkin 氏による CPU アフィニティ機能を追加
 - 解決: RHEL-74865

 skopeo slirp4netns udica

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://linux.oracle.com/errata/ELSA-2025-1372.html

プラグインの詳細

深刻度: High

ID: 216327

ファイル名: oraclelinux_ELSA-2025-1372.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2025/2/14

更新日: 2025/2/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.1

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-11218

CVSS v3

リスクファクター: High

基本値: 8.6

現状値: 7.5

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:containernetworking-plugins, p-cpe:/a:oracle:linux:aardvark-dns, p-cpe:/a:oracle:linux:podman-docker, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:podman-plugins, p-cpe:/a:oracle:linux:runc, p-cpe:/a:oracle:linux:oci-seccomp-bpf-hook, p-cpe:/a:oracle:linux:crun, cpe:/a:oracle:linux:8::appstream, p-cpe:/a:oracle:linux:libslirp, p-cpe:/a:oracle:linux:criu, p-cpe:/a:oracle:linux:libslirp-devel, p-cpe:/a:oracle:linux:podman-catatonit, p-cpe:/a:oracle:linux:podman-gvproxy, p-cpe:/a:oracle:linux:container-selinux, p-cpe:/a:oracle:linux:netavark, p-cpe:/a:oracle:linux:buildah, p-cpe:/a:oracle:linux:python3-criu, p-cpe:/a:oracle:linux:skopeo-tests, p-cpe:/a:oracle:linux:conmon, p-cpe:/a:oracle:linux:crit, p-cpe:/a:oracle:linux:containers-common, p-cpe:/a:oracle:linux:cockpit-podman, p-cpe:/a:oracle:linux:slirp4netns, p-cpe:/a:oracle:linux:podman, p-cpe:/a:oracle:linux:criu-libs, p-cpe:/a:oracle:linux:python3-podman, p-cpe:/a:oracle:linux:fuse-overlayfs, p-cpe:/a:oracle:linux:buildah-tests, p-cpe:/a:oracle:linux:podman-tests, p-cpe:/a:oracle:linux:podman-remote, p-cpe:/a:oracle:linux:udica, p-cpe:/a:oracle:linux:skopeo, p-cpe:/a:oracle:linux:criu-devel

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/2/13

脆弱性公開日: 2025/1/20

参照情報

CVE: CVE-2024-11218