openSUSE 15 セキュリティ更新 : crun (openSUSE-SU-2025:0074-1)
high Nessus プラグイン ID 216855
Language:
概要
リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。説明
リモートの openSUSE 15 ホストには、openSUSE-SU-2025:0074-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。1.20 に更新:
* krun: CVE-2025-24965 を修正。.krun_config.json ファイルは、コンテナ rootfs の外部で作成された可能性があります。
(bsc#1237421)
* cgroup: デフォルトの許可リストからの tun/tap の削除を元に戻しました。これは crun-1.5 で行われました。tun/tap デバイスがデフォルトで再び追加されるようになりました。
* CRIU: 明示的に指定されない限り network_lock を設定しません。
* status: 名前にスラッシュを含むコンテナ名を許可しません。
* linux: net.ipv4.ping_group_range sysctl の設定に失敗したときのエラーメッセージを改善しました。
* scheduler: CPU アフィニティマスクのリセット時に ENOSYS エラーを無視します。
* linux: pidfd_open が EINVAL で失敗したとき、より良いエラーメッセージを返します。
* cgroup: コントローラーが利用できない場合、cgroup.controllers への絶対パスを表示します。
* exec: 常に setsid を呼び出します。現在は、exec で作成されたプロセスは、正しいプロセスグループ ID を取得します。
1.19.1 に更新:
* linux: tty からの読み取りがない場合のハングアップを修正します。tty からの読み取りと書き込みに非ブロッキングソケットを使用し、端末が何もデータを使っていないときに「crun exec」プロセスがハングしないようにします。
* linux: cgroup を別の cgroup マウントの上にマウントするために必要な回避策を削除します。この回避策には、ホスト上のマウントが一時的に漏洩するという欠点があります。現在使用されている代替手段は、2 つの cgroup マウントの間に一時的な tmpfs をマウントすることです。
1.19 に更新:
* wasm: 新しいハンドラー wamr を追加します。
* criu: ネットワークロックメソッドを libcriu に渡すことを許可します。
* linux: exec cpu アフィニティマスクを遵守します。
* build: musl libc を使ったビルドを修正します。
* crun: マウント API を使用してセルフクローンを作成します。
* cgroup、systemd: 更新時にデバイスをオーバーライドしません。「更新」リクエストにデバイスブロックが構成されていない場合、以前の構成をリセットしないでください。
* cgroup: cgroup v1 フリーザーが無効な場合を処理します。フリーザーコントローラーのないシステムで、コンテナが誤って一時停止として報告されました。
* cgroup: exec でプロセスを停止しません。cpu マスクが systemd スコープで構成されている場合、cgroup が完全に構成されるまでコンテナを停止する以前の回避策は必要なくなりました。
- crun v1.18.2 への更新 upstream 変更ログをつぎのものから参照できます:https://github.com/containers/crun/releases/tag/1.18.2>
- crun v1.18 に更新してください。upstream 変更ログをつぎのものから参照できます:https://github.com/containers/crun/releases/tag/1.18>
1.17 に更新:
* --log-levelオプションを追加します。エラー、警告、エラーを受け入れます。
* コンテナ作成のデバッグログを追加します。
* クラッシュを引き起こす可能性のある crun exec コードの二重解放を修正します。
* journald ログドライバーへの ID の受け渡しを許可します。
* tty のセットアップ後に「実行ファイルが見つかりません」エラーを報告します。
* フックからの EPIPE をエラーとして扱いません。
* DefaultDependencies が systemd スコープで正しく設定されていることを確認してください。
* コンテナプロセスが見つからない場合のエラーメッセージを改善します。
* mnt 名前空間の復元のエラー処理を改善します。
* getpwuid_r、recvfrom、libcrun_kill_linux のエラー処理を修正します。
* 末尾にスラッシュがあるデバイスパスの処理を修正します。
- キーリングの URL を追加します
- wasmedge を無効にする (leap 用にパッケージされません) ことで、leap を有効にします
upstream 1.16.1 リリース:
- 1.16 によるリグレッションを修正します。「rshared」rootfs マウントプロパゲーションが使用されて、rootfs 自体がマウントポイントになっていました。
- オーバーライドされない場合、exec の元のプロセスからユーザーを継承します。
1.16 に更新:
* build: s390x のビルドを修正します。
- linux: rro で特別なファイルのマウントを修正します。O_PATH でマウントターゲットを開き、FIFO や UNIX ソケットなどの特殊ファイルによる open(2) の失敗を回避します。
- cpu クォータおよび period props 更新の sd-bus エラー処理を修正します。
- container: 可能であれば、rootfs に相対パスを使用します。rootfs を解決できず、rootfs が現在の作業ディレクトリの下にある場合は、その相対パスのみを使用します。
- wasmedge: WasmEdge 構成のコンテナ環境変数にアクセスします。
- cgroup、systemd: MemoryLimit の代わりに MemoryMax を使用します。古い構成名の使用に関する警告を修正します。
- cgroup、systemd: sd_bus_message_append エラーのチェックを改善します
新しい upstream リリース 1.15:
* /run/crun の下のマウントポイントの漏洩を修正します。削除が EBUSY で失敗した場合にディレクトリをアンマウントする再試行メカニズムを追加します。
* linux: cgroups: /sys/fs/cgroup がすでにマウントされている場合に発生する可能性があるマウント漏洩を修正します。これにより、posthooks が実行されなくなります。
* release: musl libc を使用して s390x バイナリをビルドします。
* features: potentialUnsafeConfigAnnotations のサポートを追加します。
* handlers: wasmedge 用の wasi-nn プラグインをロードするオプションを追加します。
* linux: 「harden chdir()」セキュリティ手段を修正します。以前のチェックが正しくありませんでした。
* crun: 実行コマンドにオプション --keep を追加します。指定すると、コンテナは終了時に自動的に削除されません。
新しい upstream リリース 1.14.4:
- linux: 再帰フラグのあるファイルのマウントを修正します。ディレクトリを想定するのではなく、ソースタイプをチェックします。
- 1.14.2 をフォローアップします。各コマンドのバージョンチェックをドロップします。
- crun: OCI バージョンのチェックをドロップします。OCI ランタイム仕様における最近の更新により、crun があらゆる構成ファイルで失敗していました。値が何も追加されないため、チェックをドロップします。
- 最近、runc にセキュリティ上の脆弱性 (CVE-2024-21626) があり、悪意のあるユーザーがコンテナの rootfs 外にある /proc/*/fd エントリに chdir(2) を行う可能性があります。crun は直接影響を受けませんが、コンテナ rootfs 内にいることを検証して chdir を強化します。
- container: execv(2) の前に、すべてのファイルを閉じようとします。
いずれかの fd が漏洩した場合、execv が /proc/self/fd/$fd を通じてコンテナ rootfs 外のファイルにアクセスすることが阻止されます。
- 5.11より古いカーネルに ebpf フィルターをインストールする際に 1.14 によって引き起こされるリグレッションを修正します。
- cgroup、systemd: リソースブロックが指定されない場合のセグメンテーション違反を修正します。
1.14 に更新:
* build: libgcrypt の依存関係をドロップします。blake3 を使用してキャッシュキーを計算します。
* cpuset: cpuset 値を書き込む際に、親 cgroup の値を上書きしません。
* linux: umask(0) を強制します。これにより、mknodat syscall が呼び出しプロセスの umask の影響を受けないようになり、OCI 構成の指定に従ってファイル権限を設定できるようになります。
* ebpf: eBPF プログラムで MEMLOCK を必要としません。この要件が Linux で緩和されました 5.11。
- 1.13 への更新:
* src: すべての open/openat 呼び出しに O_CLOEXEC を使用します
* cgroup v1: pid 制限が 0 より小さい場合に「max」を使用します。
* 基盤となるファイルシステムがサポートしていないために idmap マウントが失敗した場合のエラーメッセージを改善します。
* libcrun: libseccomp および libcap なしでビルドする場合のコンパイルを修正します。
* カスタム注釈を使用する際の、idmap された相対マウントを修正します。
- 新しい upstream リリース 1.12:
* 新しい WebAssembly ハンドラーを追加します: spin。
* systemd: セッションバスが利用できない場合、システムバスにフォールバックします。
* cpu rt および cpuset コントローラーを構成してから結合するようにし、不適切な cpu で一時的にワークロードが実行されることを回避します。
* 親のセットを使用する代わりに、必要なリソースで cpuset を事前構成します。これにより、ロードバランシングが無効になっている CPU をカーネルが追跡するため、カーネルの不必要なチャーンを回避できます。
* attr/* ファイルの前に attr/<lsm>/* を試行します。apparmor がロードされた LSM のリストの最初の「メジャー」LSM でない場合、attr/* ファイルへの書き込みが失敗する可能性があります (例: lsm=apparmor,bpf と lsm=bpf,apparmor)。
- 新しい upstream リリース 1.11.2:
* 1.11.1 によって引き起こされたリグレッションを修正します。cgroup v1 で CPU 制限が構成されていない場合にプロセスがクラッシュします。(boo#1217590)
* ptsname_r 関数のエラーコードチェックを修正します。
- 1.11.1 への更新:
* ホストからの bind マウントによる再マウント操作を強制し、すべてのマウントフラグを正しく設定します。
* cgroup: CPU バーストを遵守します。
* systemd: スコープ cgroup に CPUQuota と CPUPeriod を設定します。
* linux: tmpfs モードがマウントにない場合、追加します。これは、runc の動作と同じです。
* cgroup: rootless に対して常にユーザーセッションを使用します。
* Intel Resource Director Technology (RDT) のサポート。
* 新しいマウントオプション「copy-symlink」。マウントに対して指定された場合、ソースがシンボリックリンクのとき、マウントが試行される代わりにコンテナにコピーされます。
* linux: userns にある場合、setgroups の前にマウントを開きます。これにより、以前はユーザーがアクセス可能であったディレクトリが、setgroups 後にアクセスできなくなって bind マウントが失敗する問題が解決されます。
- 新しい upstream リリース 1.9.2:
* cgroup: cgroup に移動した後、継承された cpu アフィニティをリセットします。古いカーネルはこれを自動的に行いますが、新しいカーネルは cgroup の移動前に設定されていたアフィニティを記憶するため、cpuset 構成を尊重するためにリセットする必要があります。
- 新しい upstream リリース 1.9.1:
* utils: シンボリックリンクの chmod の際に ENOTSUP を無視します。これは、シンボリックリンクで chmod を常に拒否する Linux 6.6 の問題を修正します。
* build: CentOS 7 でのビルドを修正
* linux: マウントが EBUSY で失敗した際の新しいフォールバックを追加します。これにより、不要な場合に追加の tmpfs マウントが存在しないようにします。
* utils: パスのコンポーネントが非ディレクトリとしてすでに存在するため、ディレクトリを作成できないときのエラーメッセージを改善します。
- x86_64 および aarch64 では wasmedge のみをビルド
- プラットフォーム「wasi/wasm」の crun-wasm シンボリックリンクを追加
- 1.9 への更新:
* linux: 任意の idmapped マウントをサポートします。
* linux: 再帰 idmapped マウントをサポートするために、「ridmap」マウントオプションのサポートを追加します。
* crun delete: systemd のリセット失敗を呼び出します。
* linux: oom_score_adj のチェックを修正します。
* features: mountExtensions をサポートします。
* linux: 数字で始まらない場合、不明な信号文字列を正しく処理します。
* linux: すでに参加している名前空間に再び参加しようとしません。
* wasmer: 最新の wasix API を使用します。
- Wasm compat コンテナを実行するために、WasmEdge サポートを有効にします。
* linux: idmap されたマウントは、マッピングと同じ構成を期待します。互換性に影響する変更ですが、挙動が調整されました
* cgroup: エラー時に cgroup を常に削除します。
? exec: --apparmor を使用する際の二重解放を修正します
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける crun パッケージを更新してください。参考資料
https://bugzilla.suse.com/1217590
https://bugzilla.suse.com/1218894
https://bugzilla.suse.com/1237421
http://www.nessus.org/u?1cf9d252
プラグインの詳細
深刻度: High
ID: 216855
ファイル名: openSUSE-2025-0074-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/2/26
更新日: 2025/2/26
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.2
CVSS v2
リスクファクター: High
基本値: 7.2
現状値: 6
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2024-21626
CVSS v3
リスクファクター: High
基本値: 8.6
現状値: 8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.5
Threat Score: 7.2
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
CVSS スコアのソース: CVE-2025-24965
脆弱性情報
CPE: cpe:/o:novell:opensuse:15.6, p-cpe:/a:novell:opensuse:crun
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/2/24
脆弱性公開日: 2024/1/31
参照情報
CVE: CVE-2024-21626, CVE-2025-24965