RHEL 7:docker(RHSA-2016:1034)
high Nessus プラグイン ID 91115
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
docker 用の更新が、Red Hat Enterprise Linux 7 Extras で現在利用可能です。Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは、「参照」セクションで CVE リンクから脆弱性ごとに入手できます。
Docker はオープンソースエンジンで、任意のアプリケーションの展開を軽量でポータブルかつ自己充足型のコンテナとして自動化します。これは仮想環境でどこでも実行されます。
セキュリティ修正:
* Docker がユーザー名ではなく特定の UID でコンテナを起動することが判明しました。コンテナを起動できる攻撃者が、この欠陥を利用して、起動されたコンテナで権限を root まで昇格する可能性があります。(CVE-2016-3697)
この問題は、Mrunal Patel 氏(Red Hat)により発見されました。
バグ修正:
* イメージを引き出すプロセスにより、イメージマニフェストの各レイヤーに新しい「goroutine」が生成されます。これらのうちのいずれかがダウンロードされると、他の goroutine が実行中であっても、すべてが停止し、エラーが返されます。http 応答ライターに添付されているプログレスリーダーを通じた出力が書き込まれます。リクエストハンドラーが最初のエラーから戻っているため、これらのダウンロード goroutine のうちの 1 つが応答ライターバッファに書き込みを行うと、http サーバーがパニックします。このバグは修正され、イメージが引き出されたときに、Docker がパニックしなくなりました。(BZ#1264562)
* 以前は、特定の状況で、コンテナの削除中にコンテナ rootfs がビジーのままでした。コンテナのマウントポイントが別のマウント名前空間に漏洩した場合に、これが発生するのが一般的でした。結果として、コンテナの削除が失敗していました。このバグを修正するために、新しい Docker のデーモンオプション「dm.use_deferred_deletion」が提供されています。True に設定されると、このオプションはコンテナ rootfs 削除を延期します。ユーザーはコンテナの削除が成功するのを見ますが、rootfs を支える実際のシンデバイスが、ビジーでなくなると後ほど削除されます。(BZ#1190492)
* 以前には、Docker ユニットファイルは、「再起動」オプションを「エラー中」に設定していました。結果として、構成または他の問題により起動できない場合でも、Docker デーモンが強制的に再起動されていました。この状況は、ループの docker-storage-setup サービスの不必要な再起動を強制していました。また、これにより、多数の再起動が引き起こされるため、本当のエラーメッセージが失われていました。このバグを修正するために、Docker ユニットファイルで「Restart=on-failure」が「Restart=on-abnormal'」に置き換えられていました。結果として、Docker デーモンがクリーンでない終了コードでエラーを起こす際に、デーモンが自動的に再起動しません。
(BZ#1319783)
* 以前は、リクエスト本文が誤って 2 回 Docker デーモンに読み取られ、結果として EOF エラーが返されていました。このバグを修正するために、リクエスト本文を誤って初めて読み取るコードが削除されました。結果として、EOF エラーが返されなくなり、本当に必要なときに本文が正しく読み取られるようになりました。(BZ#1329743)
機能強化:
* 現時点では、/usr/bin/docker スクリプトが、/usr/bin/docker-current または /usr/bin/docker-latest を、/etc/sysconfig/docker に存在する sysconfig 変数 DOCKERBINARY の値をベースに呼び出すようになりました。docker-common パッケージが提供する /usr/bin/docker と /etc/sysconfig/docker により、管理者がどの Docker クライアントバイナリが呼び出すかを構成することができるようになります。
Docker がインストールされていないと、/usr/bin/docker が /usr/bin/docker-latest をデフォルトで呼び出します。Docker がインストールされていると、DOCKERBINARY が /etc/sysconfig/docker の /usr/bin/docker-latest に設定されていない限り、/usr/bin/docker が /usr/bin/docker-current をデフォルトで呼び出します。このように、現在実行しているデーモンのバージョンをチェックする必要もなく、docker-latest または docker を使用できます。(BZ#1328219)
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 91115
ファイル名: redhat-RHSA-2016-1034.nasl
バージョン: 2.12
タイプ: local
エージェント: unix
公開日: 2016/5/13
更新日: 2019/10/24
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Low
基本値: 2.1
現状値: 1.6
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:docker, p-cpe:/a:redhat:enterprise_linux:docker-common, p-cpe:/a:redhat:enterprise_linux:docker-forward-journald, p-cpe:/a:redhat:enterprise_linux:docker-logrotate, p-cpe:/a:redhat:enterprise_linux:docker-selinux, cpe:/o:redhat:enterprise_linux:7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2016/5/12
脆弱性公開日: 2016/6/1
参照情報
CVE: CVE-2016-3697
RHSA: 2016:1034