検出

openSUSE セキュリティ更新:docker(openSUSE-2015-792)

high Nessus プラグイン ID 87017

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

Docker がバージョン 1.9.0 に更新され、機能やバグ修正が追加されました(bnc#954812):

- ランタイム:

- 「docker stats」が、現在ブロック IO メトリクスを返すようになりました(#15005)

- 「docker stats」は現在、インターフェイスごとにネットワークステータスを詳細に示すようになりました(#15786)

- 「ancestor=<image>」フィルターを「docker ps --filter」フラグに追加し、それらの上位画像に基づいてコンテナのフィルター処理を行います(#14570)

- 「label=<somelabel>」フィルターを「docker ps --filter」に追加し、ラベルに基づいてコンテナのフィルター処理を行います(#16530)

- 「--kernel-memory」フラグを「docker run」に追加します(#14006)

- 「--message」フラグを「docker import」に追加し、オプションのメッセージを指定できるようにします(#15711)

- 「--privileged」フラグを「docker exec」に追加します(#14113)

- 「--stop-signal」フラグを「docker run」に追加し、コンテナプロセス停止信号を置換できるようにします(#15307)

- 新しい「unless-stopped」再起動ポリシーを追加します(#15348)

- 画像の検査は現在、タグを返すようになりました(#13185)

- コンテナサイズ情報を「docker inspect」に追加します(#15796)

- 「RepoTags」および「RepoDigests」フィールドを「/images/{name:.*}/json」に追加します(#17275)

- 非推奨の「/container/ps」エンドポイントを API から削除します(#15972)

- 「exec/<name>/start」に対して適切な HTTP コードを送信し、文書化します(#16250)

- IPC 名前空間を共有するコンテナ間の shm および mqueue を共有します(#15862)

- イベントストリームは現在、「--oom-kill-disable」が設定されている場合に OOM ステータスを表示するようになりました(#16235)

- 「ro」オプションでバインドマウントされた場合、特別なネットワークファイル(/etc/hosts など)が読み取り専用となるようにします(#14965)

- 「rmi」パフォーマンスを向上します(#16890)

- デフォルトブリッジネットワークに対して /etc/hosts を更新しません。ただし、リンクは除きます(#17325)

- 重複コンテナ名の競合を修正します(#17389)

- 「docker inspect」の不適切なテンプレートの実行による問題を修正します(#17284)

- docker 実行の「--cpu-shares」に対する「-c」ショートフラグのバリアントを廃止します(#16271)

- クライアント:

- ローカルファイルからインポートするために「docker import」を許可します(#11907)

- ビルダー:

- コンテナプロセスに対して別の停止信号を設定できるようにする、「STOPSIGNAL」Dockerfile 命令を追加します(#15307)

- 「ARG」Dockerfile 命令および「--build-arg」フラグを、ビルド時間の環境変数を追加できる「docker build」に追加します(#15182)

- キャッシュミスパフォーマンスを向上します(#16890)

- ストレージ:

- devicemapper:遅延削除機能を実装します(#16381)

- ネットワーク:

- 「docker network」が実験対象外となり、標準リリースの一部となりました(#16645)

- 関連したサブコマンドおよび API を含む、新しいネットワークのトップレベルコンセプト(#16645)警告:API は、実験的な API とは異なります

- 複数の分離した/マイクロセグメント化したネットワークのサポート(#16645)

- VXLAN ベースのオーバーレイドライバーを使用したビルトインマルチホストネットワーク(#14071)

- サードパーティのネットワークプラグインのサポート(#13424)

- 複数のネットワークに動的にコンテナを接続する機能(#16645)

- プラグ可能 IPAM ドライバーからのユーザー定義型の IP アドレス 管理のサポート(#16910)

- ビルトインノード検出に対してデーモンフラグ「--cluster-store」および「--cluster-advertise」を追加します(#16229)

- TLS 設定を実行するために、「--cluster-store-opt」を追加します(#16644)

- 「--dns-opt」をデーモンに追加します(#16031)

- API v1.21 の次のコンテナ「NetworkSettings」フィールドを廃止します:「EndpointID」、「Gateway」、「GlobalIPv6Address」、「GlobalIPv6PrefixLen」、「IPAddress」、「IPPrefixLen」、「IPv6Gateway」、および「MacAddress」。これらは、「ブリッジ」ネットワーク専用になりました。「NetworkSettings.Networks」を使用し、各ネットワークコンテナのネットワーク設定を検査します。

- ボリューム:

- 新しいトップレベルの「ボリューム」サブコマンドおよび API(#14242)

- ホスト固有の構成に API ボリュームドライバーの設定を移動します(#15798)

- ボリューム名が一意でない場合、エラーメッセージを出力します(#16009)

- Dockerfiles から作成したボリュームが、常にローカルボリュームドライバーを使用するようにします(#15507)

- bind マウントに対する、欠如したホストパスの自動作成を廃止します(#16349)

- ロギング:

- Amazon CloudWatch 用の「awslogs」ロギングドライバーを追加します(#15495)

- ジェネリック「タグ」ログオプションを追加し、ドライバーに対して渡されるコンテナ/画像情報のカスタマイズを可能にします(例:コンテナ名を表示)(#15384)

- journald ドライバー用の「docker logs」エンドポイントを実装します(#13707)

- ドライバー固有のログタグを廃止します(例:「syslog-tag」など)(#15384)

- ディストリビューション:

- 「docker search」は現在、部分的な名前で動作するようになりました(#16509)

- プッシュの最適化:ファイルに対するバッファリングを回避します(#15493)

- デーモンが、別のクライアントにすでに取得されている画像の進行状況を表示します(#15489)

- 実行されている現在のアクションに必須の権限のみがリクエストされます(#)

- 「offline」から「root」、「tagging」から「repository」にトラスト鍵(およびそれぞれの環境変数)の名前を変更します(#16894)

- トラスト鍵の環境変数の「DOCKER_CONTENT_TRUST_OFFLINE_PASSPHRASE」および「DOCKER_CONTENT_TRUST_TAGGING_PASSPHRASE」を廃止します(#16894)

- セキュリティ:

- rpm パッケージに SELinux プロファイルを追加します(#15832)

- deb パッケージで提供されている AppArmor プロファイルによる、さまざまな問題を修正します(#14609)

- /pro に対する書き込みを阻止する AppArmor ポリシーを追加します(#15571)

- systemd ユニットファイルを、非推奨の「-d」オプションを使用しないように変更します(bnc#954737)

- また、docker がセキュリティ問題を修正する 1.8.3 バージョンに更新されました:

- ローカルグラフポイズニングにつながる、レイヤー ID を修正します(CVE-2014-8178)(boo#949660)

- pull-by-digest 検証バイパスが発生する、マニフェストの検証および解析ロジックエラーを修正します(CVE-2014-8179)

- 「--disable-legacy-registry」を追加し、デーモンが v1 レジストリを使用しないようにします

ソリューション

影響を受ける docker パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=949660

https://bugzilla.opensuse.org/show_bug.cgi?id=954737

https://bugzilla.opensuse.org/show_bug.cgi?id=954812

プラグインの詳細

深刻度: High

ID: 87017

ファイル名: openSUSE-2015-792.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2015/11/24

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS v3

リスクファクター: High

基本値: 7.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:docker, p-cpe:/a:novell:opensuse:docker-bash-completion, p-cpe:/a:novell:opensuse:docker-debuginfo, p-cpe:/a:novell:opensuse:docker-debugsource, p-cpe:/a:novell:opensuse:docker-test, p-cpe:/a:novell:opensuse:docker-zsh-completion, cpe:/o:novell:opensuse:42.1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2015/11/14

脆弱性公開日: 2019/12/17

参照情報

CVE: CVE-2014-8178, CVE-2014-8179