podman-1.6.4-18.el7
エラータID: AXSA:2020-067:02
リリース日:
2020/05/12 Tuesday - 20:51
題名:
podman-1.6.4-18.el7
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- Buildah には、パストラバーサル攻撃が可能なため、攻撃者
により HTTP(s)サーバーにホストされた悪意あるコンテナ
イメージをユーザーが用いることにより、ユーザーがアクセス
許可を持っている任意の場所のファイルを上書きすることが
できる脆弱性があります。(CVE-2020-10696)
- podmanの使用する、GPGME ライブラリ用の proglottis Go
ラッパーには、Docker あるいは CRI-Oによってコンテナ
イメージを pull することで例証されるように、解放後使用の
問題があり、GPG 署名の検証の間にクラッシュあるいは潜在的に
コードの実行につながる脆弱性があります。(CVE-2020-8945)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2020-10696
A path traversal flaw was found in Buildah in versions before 1.14.5. This flaw allows an attacker to trick a user into building a malicious container image hosted on an HTTP(s) server and then write files to the user's system anywhere that the user has permissions.
A path traversal flaw was found in Buildah in versions before 1.14.5. This flaw allows an attacker to trick a user into building a malicious container image hosted on an HTTP(s) server and then write files to the user's system anywhere that the user has permissions.
CVE-2020-8945
The proglottis Go wrapper before 0.1.1 for the GPGME library has a use-after-free, as demonstrated by use for container image pulls by Docker or CRI-O. This leads to a crash or potential code execution during GPG signature verification.
The proglottis Go wrapper before 0.1.1 for the GPGME library has a use-after-free, as demonstrated by use for container image pulls by Docker or CRI-O. This leads to a crash or potential code execution during GPG signature verification.
追加情報:
N/A
ダウンロード:
SRPMS
- podman-1.6.4-18.el7.src.rpm
MD5: efbb18bc85ebde0e8453f5f9f1ceffc3
SHA-256: 86607701dad74ec309955a652d2665e228ca5c1df25400e12211839e7abb0730
Size: 8.92 MB
Asianux Server 7 for x86_64
- podman-1.6.4-18.el7.x86_64.rpm
MD5: 77a5c63127947b623a3c2553888beb11
SHA-256: 1c12d1a68feb40830faa416eabd8c64f5d1052654492877a73c7ee1c5799bdba
Size: 12.85 MB - podman-docker-1.6.4-18.el7.noarch.rpm
MD5: c17d4101472edc5a41bdf65004bd7f93
SHA-256: 89031cbcbffb4817dcfadcf0f4df0a5fdd60057d4ec317541e987abf17b5a2cf
Size: 28.87 kB