偵測

openSUSE 安全性更新:docker / go (openSUSE-SU-2014:1411-1)

medium Nessus Plugin ID 79241

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

Docker 已更新至 1.3.1 版,可修正兩個安全性問題和數個其他錯誤。

已修正這些安全性問題:

- 防止用戶端、程序和登錄檔遞補至低於 TLS 1.0 的 SSL 通訊協定 (CVE-2014-5277)。

- 除非指定「--insecure-registry」,否則一律以憑證驗證使用安全 HTTPS 連線至登錄檔,且不遞補為 HTTP。

已修正下列非安全性錯誤:

- 修正磁碟區無法共用的問題

- 修正「--iptables=false」未自動設定「--ip-masq=false」的問題

- 修正 docker 執行輸出至非-TTY stdout 的問題

- 修正環境變數逸出「$」的問題

- 修正小寫 「onbuild」Dockerfile 指令的問題

- 將環境變數擴充限制為「ENV」「ADD」、「COPY」、「WORKDIR」、「EXPOSE」、「VOLUME」和「USER」

- docker「exec」可讓您在現有的容器中執行其他處理程序

- docker「create」可讓您在不執行處理程序的情況下,透過 cli 建立容器

-「--Security-opts」選項允許使用者自訂容器標籤和 apparmor 設定檔

- docker「ps」篩選

- 複製/新增的萬用字元支援

- 從 get.docker.io 將生產 url 移動至 get.docker.com

- 在有效 cidr 內的橋接器配置 ip 位址

- 使用 drone.io 進行 pr 和 ci 測試

- 官方登錄檔鏡像的設定功能

- 使用 docker「save」儲存多個影像的功能

go 已更新至 1.3.3 版,可修正一個安全性問題和數個其他錯誤。

已修正此安全性問題:

- TLS 用戶端驗證問題 (CVE-2014-7189)。已修正下列非安全性錯誤:

- 避免去除 arm 上的 debuginfo,執行失敗 (且為非必要)

- 還原 /usr/share/go/contrib 符號連結,因為其會在更新期間造成問題。將所有 go 來源移動至 /usr/share/go/contrib/src (而非 /usr/share/go/contrib/src/pkg),並在 contrib 中建立 pkg 和 src 符號連結,以將其新增至 GOPATH

- 修正 %go_contribsrcdir 值

- 將暫存 macros.go 視為 go.macros 進行複製,避免系統對其進行構建

- 不修改 Source: 檔案,因為該動作會使 .src.rpm 連結到特定的 arch。

- 移除 /usr/share/go/contrib: 中的其他 src 資料夾,目的是為了將此資料夾轉換成適當的 GOPATH 項目。此資料現已連結至 %{_libdir}/go/contrib

- go 要求 gcc 構建使用 cgo 的來源

- tools-packaging.patch:允許在 $GOROOT_TARGET/pkg/tool (而非 $GOROOT/pkg/tool) 中構建封面和 vet 工具。此可允許將 go 工具視為獨立套件進行構建

解決方案

更新受影響的 docker / go 套件。

另請參閱

https://bugzilla.opensuse.org/show_bug.cgi?id=898901

https://lists.opensuse.org/opensuse-updates/2014-11/msg00048.html

Plugin 詳細資訊

嚴重性: Medium

ID: 79241

檔案名稱: openSUSE-2014-660.nasl

版本: 1.9

類型: local

代理程式: unix

已發布: 2014/11/14

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.0

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

弱點資訊

CPE: p-cpe:/a:novell:opensuse:docker, p-cpe:/a:novell:opensuse:docker-bash-completion, p-cpe:/a:novell:opensuse:docker-debuginfo, p-cpe:/a:novell:opensuse:docker-debugsource, p-cpe:/a:novell:opensuse:docker-zsh-completion, p-cpe:/a:novell:opensuse:go, p-cpe:/a:novell:opensuse:go-debuginfo, p-cpe:/a:novell:opensuse:go-debugsource, p-cpe:/a:novell:opensuse:go-emacs, p-cpe:/a:novell:opensuse:go-vim, cpe:/o:novell:opensuse:13.2

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/11/5

弱點發布日期: 2014/10/7

參考資訊

CVE: CVE-2014-5277, CVE-2014-7189