openSUSE 安全性更新:docker (openSUSE-2015-792)
high Nessus Plugin ID 87017
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
Docker 已更新至 1.9.0 版,提供數個功能與錯誤修正 (bnc#954812):- 運行時間:
- `docker stats` 現在會傳回區塊 IO 度量 (#15005)
- `docker stats` 現在會詳細列出每個介面的網路統計資料 (#15786)
- 將 `ancestor=<image>` 篩選器新增至 `docker ps --filter` 旗標可根據其上階影像篩選容器 (#14570)
- 將 `label=<somelabel>` 篩選器新增至 `docker ps --filter` 可根據標籤篩選容器 (#16530)
- 將 `--kernel-memory` 旗標新增至 `docker run` (#14006)
- 將 `--message` 旗標新增至 `docker import` 允許指定選用訊息 (#15711)
- 將 `--privileged` 旗標新增至 `docker exec` (#14113)
- 將 `--stop-signal` 旗標新增至 `docker run` 允許取代容器處理程序停止訊號 (#15307)
- 新增新的 `unless-stopped` 重新啟動原則 (#15348)
- 檢查影像現在會傳回標籤 (#13185)
- 將容器大小資訊新增至 `docker inspect` (#15796)
- 將 `RepoTags` 與 `RepoDigests` 欄位新增至 `/images/{name:.*}/json` (#17275)
- 從 API 中移除過時的 `/container/ps` 端點 (#15972)
- 傳送及記錄 `/exec/<name>/start` 的正確 HTTP 程式碼 (#16250)
- 在共用 IPC 命名空間的容器之間共用 shm 與 mqueue (#15862)
- 事件資料流現在會在設定 `--oom-kill-disable` 時顯示 OOM 狀態 (#16235)
- 如果使用 `ro` 選項繫結掛載,則確保特殊網路檔案 (/etc/hosts etc.) 為唯讀 (#14965)
- 改善 `rmi` 效能 (#16890)
- 除了連結以外,不針對預設橋接器網路更新 /etc/hosts (#17325)
- 修正重複容器名稱的衝突 (#17389)
- 修正 `docker inspect` 中有不正確範本執行的問題 (#17284)
- 棄用 docker run 中 `--cpu-shares` 的 `-c` 短旗標變體 (#16271)
- 用戶端:
- 允許 `docker import` 從本機檔案匯入 (#11907)
- 構建器:
- 新增 `STOPSIGNAL` Dockerfile 指令,允許為容器處理程序設定不同的停止訊號 (#15307)
- 將 `ARG` Dockerfile 指令與 `--build-arg` 旗標新增至 `docker build`,允許新增建構時間環境變數 (#15182)
- 改善快取遺漏效能 (#16890)
- 儲存:
- devicemapper:實作延遲的刪除功能 (#16381)
- 網路:
- `docker network` 結束實驗並為標準版本的一部分 (#16645)
- 新網路頂層概念,具有關聯的子命令及 API (#16645) 警告:API 與實驗 API 不同
- 支援多個隔離/微分段網路 (#16645)
- 內建使用 VXLAN 式覆蓋驅動程式的多主機網路 (#14071)
- 支援第三方網路外掛程式 (#13424)
- 能夠將容器動態連接至多個網路 (#16645)
- 透過插入式 IPAM 驅動程式支援使用者定義的 IP 位址管理 (#16910)
- 針對內建節點探索新增程序旗標 `--cluster-store` 與 `--cluster-advertise` (#16229)
- 針對 TLS 設定的設定新增 `--cluster-store-opt` (#16644)
- 將 `--dns-opt` 新增至程序 (#16031)
- 棄用 API v1.21 中的下列容器 `NetworkSettings` 欄位:`EndpointID`、`Gateway`、`GlobalIPv6Address`、`GlobalIPv6PrefixLen`、`IPAddress`、`IPPrefixLen`、`IPv6Gateway` 與 `MacAddress`。這些欄位現在專用於 `bridge` 網路。使用 `NetworkSettings.Networks` 來檢查每個網路之容器的網路設定。
- 磁碟區:
- 新頂層 `volume` 子命令與 API (#14242)
- 將 API 磁碟區驅動程式設定新增至主機專用的組態 (#15798)
- 如果磁碟區名稱不具唯一性,則列印錯誤訊息 (#16009)
- 確保從 Dockerfiles 中建立的磁碟區一律使用本機磁碟區驅動程式 (#15507)
- 針對繫結掛載棄用自動建立遺漏主機路徑 (#16349)
- 記錄:
- 為 Amazon CloudWatch 新增 `awslogs` 記錄驅動程式 (#15495)
- 新增一般 `tag` 記錄選項以允許將自訂容器/影像資訊傳送至驅動程式 (例如顯示容器名稱) (#15384)
- 針對 journald 驅動程式實作 `docker logs` 端點 (#13707)
- 棄用驅動程式專用記錄標籤 (例如 `syslog-tag` 等) (#15384)
- 發行版本:
- `docker search` 現在可使用部分名稱 (#16509)
- 推送最佳化:避免緩衝至檔案 (#15493)
- 程序將顯示已由其他用戶端提取之影像的進度 (#15489)
- 只會要求正在執行之目前動作所需的權限 (#)
- 將信任金鑰 (以及各自環境變數) 從 `offline` 重新命名為 `root`,並從 `tagging` 重新命名為 `repository` (#16894)
- 棄用信任金鑰環境變數 `DOCKER_CONTENT_TRUST_OFFLINE_PASSPHRASE` 與 `DOCKER_CONTENT_TRUST_TAGGING_PASSPHRASE` (#16894)
- 安全性:
- 將 SELinux 設定檔新增至 rpm 套件 (#15832)
- 修正在 deb 套件中提供之 AppArmor 設定檔的多種問題 (#14609)
- 新增防止寫入至 /proc 的 AppArmor 原則 (#15571)
- 將 systemd 單位檔案變更為不再使用棄用的 '-d' 選項 (bnc#954737)
- docker 也已更新至 1.8.3 版,修正了下列安全性問題:
- 修正層 ID 導致本機圖形毒害 (CVE-2014-8178) (bnc#949660)
- 修正資訊清單驗證和剖析邏輯錯誤,允許 pull-by-digest 驗證繞過 (CVE-2014-8179)
- 新增 `--disable-legacy-registry`,以防止程序使用 v1 登錄檔
解決方案
更新受影響的 docker 套件。另請參閱
https://bugzilla.opensuse.org/show_bug.cgi?id=949660
Plugin 詳細資訊
嚴重性: High
ID: 87017
檔案名稱: openSUSE-2015-792.nasl
版本: 1.5
類型: local
代理程式: unix
已發布: 2015/11/24
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS v3
風險因素: High
基本分數: 7.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
弱點資訊
CPE: p-cpe:/a:novell:opensuse:docker, p-cpe:/a:novell:opensuse:docker-bash-completion, p-cpe:/a:novell:opensuse:docker-debuginfo, p-cpe:/a:novell:opensuse:docker-debugsource, p-cpe:/a:novell:opensuse:docker-test, p-cpe:/a:novell:opensuse:docker-zsh-completion, cpe:/o:novell:opensuse:42.1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
修補程式發佈日期: 2015/11/14
弱點發布日期: 2019/12/17
參考資訊
CVE: CVE-2014-8178, CVE-2014-8179