openSUSE セキュリティ更新:docker(openSUSE-SU-2014:1722-1)
high Nessus プラグイン ID 80278
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
この docker バージョンの更新では、次のセキュリティ問題とセキュリティ以外の問題が修正されており、追加機能が導入されています。- 1.4.0 に更新しました(2014-12-11):
- 1.3.0 以降の重要な機能:
- key=value ラベルをデーモンに設定し(「docker info」で表示されている)、新しい「-label」デーモンフラグで適用
- 以下の形式の Dockerfile の「ENV」のサポートを追加:「ENV name=value name2=value2...」
- 新しい Overlayfs ストレージドライバー
- 「docker info」が「ID」と「Name」フィールドを返すようになりました
- イベント名、コンテナ、またはイメージでイベントをフィルター処理します
- 「docker cp」が、コンテナボリュームからのコピーをサポートするようになりました
- 「docker tag」を修正しました。これにより、既存のイメージに対するタグを上書きする際に「--force」を遵守します。
- 1.3.3 によってもたらされた変更(2014-12-11):
- セキュリティ:
- 絶対シンボリックリンクの処理におけるパストラバーサルの脆弱性を修正(CVE-2014-9356) - (bnc#909709)
- xz イメージアーカイブの展開を修正し、権限昇格を回避(CVE-2014-9357) - (bnc#909710)
- イメージ ID を検証(CVE-2014-9358) - (bnc#909712)
- ランタイム:
- イメージアーカイブがゆっくり読み取られているときの問題を修正
- クライアント:
- stdin リダイレクションに関連した回帰を修正
- 対象先が現在のディレクトリである場合の「docker cp」の回帰を修正
ソリューション
影響を受ける docker パッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=909709
https://bugzilla.opensuse.org/show_bug.cgi?id=909710
https://bugzilla.opensuse.org/show_bug.cgi?id=909712
https://lists.opensuse.org/opensuse-updates/2014-12/msg00106.html
プラグインの詳細
深刻度: High
ID: 80278
ファイル名: openSUSE-2014-820.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/12/29
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: High
基本値: 8.6
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:docker, p-cpe:/a:novell:opensuse:docker-bash-completion, p-cpe:/a:novell:opensuse:docker-debuginfo, p-cpe:/a:novell:opensuse:docker-debugsource, p-cpe:/a:novell:opensuse:docker-zsh-completion, cpe:/o:novell:opensuse:13.2
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2014/12/17
脆弱性公開日: 2014/12/16