podman-1.6.4-16.el7

エラータID: AXSA:2020-058:01

リリース日: 
2020/05/12 Tuesday - 04:38
題名: 
podman-1.6.4-16.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]

- Podman には、コンテナからホストへのコピー時の
シンボリックリンクを解決する際に不要な glob 操作が発生
するため、攻撃者は細工されたシンボリックリンクを含む
コンテナイメージを作成することにより、既存のファイルを
上書きすることができる脆弱性があります。(CVE-2019-18466)

- 現時点では CVE-2020-1702 の情報が公開されておりません。
CVE の情報が公開され次第情報をアップデートいたします。
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2019-18466
An issue was discovered in Podman in libpod before 1.6.0. It resolves a symlink in the host context during a copy operation from the container to the host, because an undesired glob operation occurs. An attacker could create a container image containing particular symlinks that, when copied by a victim user to the host filesystem, may overwrite existing files with others from the host.
CVE-2020-1702
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. podman-1.6.4-16.el7.src.rpm
    MD5: e8d986d67123fdf5128482d7c6199ece
    SHA-256: 997c6c36a1a1cbc7c6cb86a6b948af22844d42a92cb1c37a48990522e5ed11bb
    Size: 7.82 MB

Asianux Server 7 for x86_64
  1. podman-1.6.4-16.el7.x86_64.rpm
    MD5: ac8ef57336615f7bd7be3213b955ce8f
    SHA-256: b21b0b9a14965124798d60caed5ce8aa17f2b51c3b6a1e6bcb0890871f3b1f32
    Size: 12.51 MB
  2. podman-docker-1.6.4-16.el7.noarch.rpm
    MD5: e25ca343ca5a6159e7d27ae28a1a4792
    SHA-256: 2d81533d0b3c8b89c0a7617b8865f553d9cefd3d0e4259940e7722eb5191715a
    Size: 28.52 kB