openSUSE 安全更新:docker (openSUSE-2015-792)
high Nessus 插件 ID 87017
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
Docker 已更新到版本 1.9.0,引入了以下功能和缺陷补丁 (bnc#954812):- Runtime:
- “docker stats”现在可返回区块 IO 指标 (#15005)
- “docker stats”现在可说明每个接口网络状态的详细信息 (#15786)
- 添加“ancestor=<image>”过滤器到“docker ps --filter”标记,以根据它们的上级图像过滤容器 (#14570)
- 添加“label=<somelabel>”过滤器到“docker ps --filter”,以根据标签过滤容器 (#16530)
- 添加“--kernel-memory”标记到“docker run”(#14006)
- 添加“--message”标记到“docker import”,以允许指定可选消息 (#15711)
- 添加“--privileged”标记到“docker exec”(#14113)
- 添加“--stop-signal”标记到“docker run”,以允许替换容器进程终止信号 (#15307)
- 添加新的“unless-stopped”重新启动策略 (#15348)
- 现在检查图像可返回标记 (#13185)
- 添加容器大小信息到“docker inspect”(#15796)
- 添加“RepoTags”和“RepoDigests”字段到“/images/{name:.*}/json”(#17275)
- 从 API 中删除已弃用的“/container/ps”端点 (#15972)
- 发送和记录“/exec/<name>/start”的正确 HTTP 代码 (#16250)
- 在共享 IPC 命名空间的容器之间共享 shm 和 mqueue (#15862)
- 当设置“--oom-kill-disable”时,事件流现在可显示 OOM 状态 (#16235)
- 如果使用“ro”选项绑定挂载,确保特殊网络文件 (/etc/hosts etc.) 为只读 (#14965)
- 改进“rmi”性能 (#16890)
- 除链接外,不更新默认桥接网络的 /etc/hosts (#17325)
- 修复重复容器名称的冲突 (#17389)
- 修复“docker inspect”中的错误模板执行问题 (#17284)
- 弃用 docker 运行中“--cpu-shares”的“-c”短标记变体 (#16271)
- 客户端:
- 允许“docker import”从本地文件导入 (#11907)
- 生成器:
- 添加“STOPSIGNAL”Dockerfile 指令,以允许为容器进程设置不同的终止信号 (#15307)
- 添加“ARG”Dockerfile 指令和“--build-arg”标记至允许添加构建时环境变量的“docker build”(#15182)
- 改进缓存缺失性能 (#16890)
- 存储:
- devicemapper:实现延迟删除功能 (#16381)
- 网络:
- “docker network”结束试验阶段,作为标准特性发行 (#16645)
- 新的网络顶层概念,具有相关子命令和 API (#16645) 警告:API 与试验性 API 不同
- 支持多种隔离/微分段网络 (#16645)
- 使用基于 VXLAN 的叠加驱动程序内置多主机网络 (#14071)
- 支持第三方网络插件 (#13424)
- 能够将容器动态连接到多个网络 (#16645)
- 通过可插拔 IPAM 驱动程序支持用户限定 IP 地址管理 (#16910)
- 添加后台程序标记“--cluster-store”和“--cluster-advertise”,用于内置节点发现 (#16229)
- 添加“--cluster-store-opt”,用于设置 TLS 设置 (#16644)
- 添加“--dns-opt”至后台程序 (#16031)
- 弃用 API v1.21 中的以下容器“NetworkSettings”字段:“EndpointID”、“Gateway”、“GlobalIPv6Address”、“GlobalIPv6PrefixLen”、“IPAddress”、“IPPrefixLen”、“IPv6Gateway”和“MacAddress”。这些字段现在特定于“桥接”网络。使用“NetworkSettings.Networks”检查每个网络容器的网络设置。
- 卷:
- 新的顶层“volume”子命令和 API (#14242)
- 将 API 卷驱动程序设置移动到主机特定配置 (#15798)
- 如果卷名称不是唯一的,则打印错误消息 (#16009)
- 确保从 Dockerfiles 创建的卷始终使用本地卷驱动程序 (#15507)
- 弃用对绑定挂载自动创建缺失的主机路径 (#16349)
- 日志记录:
- 为 Amazon CloudWatch 添加“awslogs”日志记录驱动程序 (#15495)
- 添加通用“tag”日志选项,以允许自定义传递给驱动程序的容器/映像信息(如显示容器名称)(#15384)
- 为 journald 驱动程序实现“docker logs”端点 (#13707)
- 弃用驱动程序特定的日志标签(如“syslog-tag”等) (#15384)
- 发行版本:
- “docker search”现在可使用部分名称 (#16509)
- 推送优化:避免缓冲到文件 (#15493)
- 后台程序将显示已被另一客户端拉取的映像的进程 (#15489)
- 仅请求执行当前操作所需的权限 (#)
- 将信任密钥(及相应的环境变量)从“offline”重命名为“root”,并从“tagging”重命名为“repository”(#16894)
- 弃用信任密钥环境变量“DOCKER_CONTENT_TRUST_OFFLINE_PASSPHRASE”和“DOCKER_CONTENT_TRUST_TAGGING_PASSPHRASE”(#16894)
- 安全:
- 添加 SELinux 配置文件到 rpm 程序包 (#15832)
- 修复 deb 程序包中提供的 AppArmor 配置文件的多个问题 (#14609)
- 添加防止写入到 /proc 的 AppArmor 策略 (#15571)
- 更改 systemd 单元文件,不再使用已弃用的“-d”选项 (bnc#954737)
- 此外,docker 已更新到 1.8.3 版本,修复了以下安全问题:
- 修复导致本地图表毒化的层 ID (CVE-2014-8178) (bnc#949660)
- 修复允许绕过 pull-by-digest 验证的清单验证和解析逻辑错误 (CVE-2014-8179)
- 添加“--disable-legacy-registry”以防止后台程序使用 v1 注册表
解决方案
更新受影响的 docker 程序包。另见
https://bugzilla.opensuse.org/show_bug.cgi?id=949660
插件详情
严重性: High
ID: 87017
文件名: openSUSE-2015-792.nasl
版本: 1.5
类型: local
代理: unix
发布时间: 2015/11/24
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS v3
风险因素: High
基本分数: 7.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞信息
CPE: p-cpe:/a:novell:opensuse:docker-debuginfo, cpe:/o:novell:opensuse:42.1, p-cpe:/a:novell:opensuse:docker-test, p-cpe:/a:novell:opensuse:docker-bash-completion, p-cpe:/a:novell:opensuse:docker, p-cpe:/a:novell:opensuse:docker-zsh-completion, p-cpe:/a:novell:opensuse:docker-debugsource
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
补丁发布日期: 2015/11/14
漏洞发布日期: 2019/12/17
参考资料信息
CVE: CVE-2014-8178, CVE-2014-8179