AXSA:2020-887:04

リリース日: 
2020/11/10 Tuesday - 16:01
題名: 
podman-1.6.4-26.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- podmanの golang.org/x/text ライブラリの encoding/unicode 関数には、
UTF-16 デコーダーが無限ループを引き起こす問題があり、UseBOM や
ExpectBOM でインスタンス化された UTF16 デコーダーが String 関数から
呼び出されたとき、または golang.org/x/text/gransfrom.String に
引き渡されたときに、攻撃者が1バイトをデコーダーに引き渡すこと
により、クラッシュ、あるいはメモリ不足を引き起こすことのできる
脆弱性があります。(CVE-2020-14040)

- podman の containers/podman には、情報漏えいの問題があり、
非推奨な Varlink API や Docker-compatible REST API を使用し、
短い期間に複数のコンテナを生成する場合、はじめに生成する
コンテナの環境変数が2つめのコンテナにリークしてしまう問題があり、
この2つめのコンテナを制御可能な攻撃者が、環境変数に格納されている
機密情報にアクセスすることの可能な脆弱性があります。(CVE-2020-14370)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. podman-1.6.4-26.el7.src.rpm
    MD5: 1bfc4b1fc18180c067a5260d89930aa8
    SHA-256: ea240b6cc7a68a9fe998e8e67a5f152af25c6a988bcdc99b139813786fa89367
    Size: 9.06 MB

Asianux Server 7 for x86_64
  1. podman-1.6.4-26.el7.x86_64.rpm
    MD5: cfdec28b05615ed14d8ca6d30509906e
    SHA-256: a1fce41e04dd0a713da3bdbb230d8585cae7ede7794e95e3ce2b827c6840b22f
    Size: 12.85 MB
  2. podman-docker-1.6.4-26.el7.noarch.rpm
    MD5: 313ffdd0063f212532c6666ffe777251
    SHA-256: 18b13827dc848e3374ddb9ccca0ee42e48f5fe626f72715426c9c0488455d6ad
    Size: 30.17 kB
Copyright© 2007-2015 Asianux. All rights reserved.