Atualização importante do openSUSE para o singularity, aviso openSUSE: 2020:1011-1

Confira !!



Uma atualização que corrige três vulnerabilidades está agora disponível.
   Atualização de segurança do openSUSE: atualização de segurança por singularidade
______________________________________________________________________________

ID do anúncio: openSUSE-SU-2020: 1011-1
Classificação: importante
Referências: # 1174148 # 1174150 # 1174152
Referências cruzadas: CVE-2020-13845 CVE-2020-13846 CVE-2020-13847
                 
Produtos afetados:
                    openSUSE Leap 15.2
______________________________________________________________________________

   Uma atualização que corrige três vulnerabilidades está agora disponível.

Descrição:

   Esta atualização para singularidade corrige os seguintes problemas:

   - Nova versão 3.6.0. Esta versão apresenta um novo formato de assinatura para
     Imagens SIF e alterações no código de assinatura / verificação para
     os seguintes problemas de segurança:
     - CVE-2020-13845, boo # 1174150 Nas versões do Singularity 3.x abaixo de 3.6.0,
       esses problemas permitem que a ECL seja ignorada por um usuário mal-intencionado.
     - CVE-2020-13846, boo # 1174148 No Singularity 3.5, a opção --all / -a
       para verificar a singularidade retorna com êxito mesmo quando alguns objetos em um SIF
       contêiner não está assinado,
     ou não pode ser verificado.
     - CVE-2020-13847, boo # 1174152 Nas versões do Singularity 3.x abaixo de 3.6.0,
       Os comandos assinar e verificar da singularidade não assinam os metadados encontrados em
       o cabeçalho global ou descritores de objeto de dados de um arquivo SIF, permitindo
       um invasor para causar comportamento inesperado. Um contêiner assinado pode
       verificar com êxito, mesmo quando ele foi modificado de maneiras que poderiam
       ser explorado para causar comportamento malicioso.

   - Novos recursos / funcionalidades
     - Um novo sinalizador '--egacy-insegure' para verificar permite a verificação do SIF
       assinaturas no formato antigo e inseguro.
     - Um novo sinalizador '-l / --logs', por exemplo, lista que mostra os caminhos para
       arquivos de log STDERR / STDOUT da instância.
     - A lista --json output da instância agora inclui caminhos para STDERR /
       Arquivos de log STDOUT.
     - A singularidade agora suporta a execução de Docker / OCI mínimo
       contêineres que não contêm / bin / sh, por exemplo, docker: // hello-world.
     - Uma nova estrutura de cache é usada para garantir a simultaneidade em um sistema de arquivos
       que suporta renomeação atômica. Se você fizer o downgrade para o Singularity 3.5 ou
       depois de usar o 3.6, você precisará executar o cache de singularidade limpo.
     - Um retrabalho do sistema de plugins adiciona novos pontos de gancho que permitirão
       desenvolvimento de plugins que modificam o comportamento do tempo de execução. Uma imagem
       O conceito de driver é introduzido para plug-ins para suportar novas formas de
       manipulação de imagem e
     montagens de sobreposição. Plugins criados para <= 3.5 não são compatíveis com 3.6.
     - O sinalizador --bind agora pode vincular diretórios de uma imagem SIF ou ext3 a
       um container.
     - O recurso --fusemount para montar sistemas de arquivos em um contêiner via FUSE
       drivers agora é um recurso suportado (anteriormente um experimento oculto
       bandeira).
     - Isso permite que os usuários montem, por exemplo, sistemas de arquivos sshfs e cvmfs no diretório
       contêiner em tempo de execução.
     - Um novo sinalizador -c / - config permite que um singularity.conf alternativo seja
       especificado pelo usuário raiz ou todos os usuários em um ambiente sem privilégios
       instalação.
     - Um novo sinalizador --env permite que variáveis ​​de ambiente do contêiner sejam definidas via
       a linha de comando Singularity.
     - Um novo sinalizador --env-file permite que variáveis ​​de ambiente do contêiner sejam definidas
       de um arquivo especificado.
     - Um novo sinalizador --days para limpeza de cache permite a remoção de itens mais antigos que um
       número especificado de dias. Substitui o sinalizador --name que não é
       geralmente útil, pois as entradas do cache são armazenadas por hash, não por um
       nome amigável.

   - Padrões / comportamentos alterados
    - Novo formato de assinatura (consulte as correções de segurança acima).
    - Espaçamento fixo da lista de instâncias de singularidade mudando dinamicamente
      com base nos comprimentos de entrada em vez do número fixo de espaços a serem contabilizados
      para nomes de instância longos.
    - As variáveis ​​de ambiente prefixadas com SINGULARITYENV_ sempre levam
      precedência sobre variáveis ​​sem o prefixo SINGULARITYENV_.
    - A seção% post build herda variáveis ​​de ambiente da base
      imagem.
    -% arquivos de ... agora seguirão links simbólicos para fontes diretamente
      especificado ou resolvido diretamente a partir de um padrão glob. Não vai seguir
      links simbólicos encontrados através do percurso do diretório. Isso reflete o Docker
      comportamento de CÓPIA em vários estágios.
    - Restaurou o comportamento de montagem CWD da v2, implicando que o caminho CWD não é
      recriado dentro do contêiner e quaisquer links simbólicos no caminho CWD não são
      resolvido mais para determinar o caminho de destino dentro do contêiner.
    - A seção% test build é executada da mesma maneira que o teste de singularidade
      imagem.
    --fusemount com o contêiner: a diretiva padrão colocará em primeiro plano o
     Processo de fusível. Use container-daemon: para comportamento anterior.

   - Descontinuar a opção -a / --all para assinar / verificar como novo comportamento da assinatura
     torna isso o padrão.
   - Para mais informações sobre alterações upstream, verifique:
     https://github.com/hpcng/singularity/blob/master/CHANGELOG.md
   - Removido o sinalizador --name para limpar o cache; substituído por --days.


Instruções de patch:

   Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
   como o YaST online_update ou "zypper patch".

   Como alternativa, você pode executar o comando listado para o seu produto:

   - openSUSE Leap 15.2:

      zypper no patch -t openSUSE-2020-1011 = 1



Lista de Pacotes:

   - openSUSE Leap 15.2 (x86_64):

      singularidade-3.6.0-lp152.2.3.1
      singularity-debuginfo-3.6.0-lp152.2.3.1


Referências:

   https://www.suse.com/security/cve/CVE-2020-13845.html
   https://www.suse.com/security/cve/CVE-2020-13846.html
   https://www.suse.com/security/cve/CVE-2020-13847.html
   https://bugzilla.suse.com/1174148
   https://bugzilla.suse.com/1174150
   https://bugzilla.suse.com/1174152

-


Fonte

Até a próxima !