Confira !!
Uma atualização que resolve uma vulnerabilidade e tem 6 correções agora está disponível.
Atualização de segurança do openSUSE: atualização de segurança para conmon, fuse-overlayfs, libcontainers-common, podman
______________________________________________________________________________
ID do anúncio: openSUSE-SU-2020: 1559-1
Avaliação: moderada
Referências: # 1162432 # 1164090 # 1165738 # 1171578 # 1174075
# 1175821 # 1175957
Referências cruzadas: CVE-2020-1726
Produtos afetados:
openSUSE Leap 15.2
______________________________________________________________________________
Uma atualização que resolve uma vulnerabilidade e tem 6 correções é
agora disponível.
Descrição:
Esta atualização para conmon, fuse-overlayfs, libcontainers-common, correções de podman
os seguintes problemas:
podman foi atualizado para v2.0.6 (bsc # 1175821)
- instalar unidades do systemd ausentes para a nova API Rest (bsc # 1175957) e um
poucas páginas de manual que estavam faltando antes
- Abandone os bits relacionados à API varlink (em favor da nova API)
- corrigir local de instalação para conclusões zsh
* Corrigido um bug ao executar o systemd em um contêiner em um sistema cgroups v1
iria falhar.
* Corrigido um bug onde / etc / passwd podia ser recriado toda vez que um
o contêiner é reiniciado se o / etc / passwd do contêiner não continha
uma entrada para o usuário com o qual o contêiner foi iniciado.
* Corrigido um bug em que os contêineres sem um arquivo / etc / passwd especificando um
o usuário não root não iniciaria.
* Corrigido um bug em que a sinalização --remote às vezes não tornava remoto
conexões e, em vez disso, tentaria executar o Podman localmente.
Atualize para v2.0.6:
* Recursos
- O Rootless Podman agora adicionará uma entrada em / etc / passwd para o usuário que
executou o Podman se executado com --userns = keep-id.
- O comando de conexão do sistema podman foi reformulado para oferecer suporte
conexões múltiplas e reativadas para uso!
- Podman agora tem um novo sinalizador global, --connection, para especificar um
conexão a uma instância remota da API Podman.
* Alterar
- Integração automática com o sistema do Podman (ativado pelo
--systemd = true flag, definido por padrão) agora será ativado para contêineres
usando / usr / local / sbin / init como seu comando, em vez de apenas
/ usr / sbin / init e / sbin / init (e qualquer caminho terminado em systemd).
- Perfis Seccomp especificados pelo sinalizador --security-opt seccomp = ... para
podman create e podman run agora serão homenageados mesmo se o contêiner
foi criado usando --privileged.
* Correções de bugs
- Corrigido um bug em que o podman play kube não respeitava o hostIP
campo para encaminhamento de porta (# 5964).
- Corrigido um bug em que o comando podman generate systemd entrava em pânico
uma política de reinicialização inválida sendo especificada (# 7271).
- Corrigido um bug em que o comando podman images poderia demorar muito
tempo (vários minutos) para concluir quando um grande número de imagens foram
presente.
- Corrigido um bug em que o comando podman logs com a sinalização --tail iria
não funciona corretamente quando uma grande quantidade de saída seria impressa
((# 7230) [https://github.com//issues/7230]).
- Corrigido um bug em que o comando podman exec com Podman remoto não
retornar um código de saída diferente de zero quando a sessão de exec falhou ao iniciar
(por exemplo, invocar um comando inexistente) (# 6893).
- Corrigido um bug em que o comando de carregamento do podman com o Podman remoto fazia
não respeitar as tags especificadas pelo usuário (# 7124).
- Corrigido um bug em que o comando podman system service, quando executado como um
usuário não root por Systemd, não manipulou corretamente a pausa do Podman
processo e não reiniciaria corretamente como resultado (# 7180).
- Corrigido um bug em que a sinalização --publish para criar, executar o podman e
podman pod create não manipulou adequadamente um IP de host de 0.0.0.0
(tentativa de vinculação ao literal 0.0.0.0, em vez de todos os IPs no
sistema) (# 7104).
- Corrigido um bug em que o comando podman start --attach não imprimia
o código de saída do contêiner quando o comando saiu devido ao contêiner
saindo.
- Corrigido um bug em que o comando podman rm com Podman remoto não
remover volumes, mesmo se o sinalizador --volumes foi especificado (# 7128).
- Corrigido um bug onde o podman executa o comando com o Podman remoto e o
O sinalizador --rm pode sair antes que o contêiner seja totalmente removido.
- Corrigido um bug em que --pod new: ... flag to podman run e podman
criar criaria um pod que não compartilhava nenhum namespace.
- Corrigido um bug em que a sinalização --preserve-fds para execução do podman e podman
exec pode fechar os descritores de arquivo errados ao tentar fechar
descritores fornecidos pelo usuário após passá-los para o contêiner.
- Corrigido um bug onde as variáveis de ambiente padrão ($ PATH e $ TERM) eram
não definido em contêineres quando não fornecido pela imagem.
- Corrigido um bug em que os contêineres de infra do pod não eram desmontados corretamente
depois de sair.
- Corrigido um bug em que as redes criadas com a rede podman criam com um
A sub-rede IPv6 não definiu corretamente uma rota padrão IPv6.
- Corrigido um bug em que o comando podman save não funcionava corretamente quando
sua saída foi canalizada para outro comando (# 7017).
- Corrigido um bug em que os contêineres usando um init systemd em um cgroups v1
sistema pode vazar montagens em / sys / fs / cgroup / systemd para o host.
- Corrigido um bug em que a compilação do podman não gerava um evento em
conclusão (# 7022).
- Corrigido um bug em que o comando de histórico do podman com Podman remoto
imprimiu tempos de criação incorretos para camadas (# 7122).
- Corrigido um bug em que o Podman não criava diretórios de trabalho
especificado pela imagem do contêiner, caso não existissem.
- Corrigido um bug em que o Podman não limpava o CMD da imagem do contêiner se
o usuário substituiu ENTRYPOINT (# 7115).
- Corrigido um bug em que o erro de análise de nomes de imagens não era totalmente relatado
(parte da mensagem de erro contendo o problema exato foi descartada).
- Corrigido um bug em que o comando podman images com Podman remoto não
suporta impressão de tags de imagem em modelos Go fornecidos para o --format
bandeira (# 7123).
- Corrigido um bug em que o comando podman rmi --force não tentava
desmontar os contêineres que estava removendo, o que poderia causar uma falha ao
remova a imagem.
- Corrigido um bug em que o podman gerar o comando systemd --new poderia
citar incorretamente argumentos para o Podman que continham espaço em branco,
levando a arquivos de unidade não funcionais (# 7285).
- Corrigido um bug em que o comando podman version não incluía corretamente
tempo de construção e commit do Git.
- Correção de um bug em que o systemd era executado em um contêiner Podman em um sistema
que não usasse o gerenciador de cgroup systemd iria falhar (# 6734).
- Corrigido um bug em que os recursos de --cap-add não eram adicionados corretamente
quando um contêiner foi iniciado como um usuário não root via --user.
- Correção de um bug em que os contêineres de infra do pod não eram limpos adequadamente
quando pararam, causando problemas de rede (# 7103).
* API
- Corrigido um bug em que os endpoints libpod e compat Build não aceitavam
o tipo de conteúdo do aplicativo / tar (em vez de aceitar apenas
application / x-tar) (# 7185).
- Corrigido um bug onde o endpoint libpod Exists tentava escrever um
segundo cabeçalho em algumas condições de erro (# 7197).
- Corrigido um bug onde compat e libpod Network Inspect and Network Remove
endpoints retornariam 500 em vez de 404 quando a rede solicitada
não foi encontrado.
- Adicionado um endpoint _ping com versão (por exemplo, https: //localhost/v1.40/_ping).
- Corrigido um bug em que os contêineres eram iniciados por meio de um sistema gerenciado
instância da API REST seria encerrada quando o serviço do sistema podman
desligado devido ao tempo limite de inatividade (# 7294).
- Adicionada verificação de parâmetro mais forte para a criação de rede libpod
endpoint para garantir que a máscara de sub-rede seja um valor válido.
- O parâmetro de URL do pod para o endpoint da lista de contêineres Libpod foi
descontinuada; as informações anteriormente geradas pelo pod testará
agora seja incluído na resposta incondicionalmente.
- Mudança de requisitos rígidos para AppArmor para Recomendados. Eles não são necessários para
runtime ou com SELinux, mas já instalado se o AppArmor for usado
[jsc # SMO-15]
- Adicionar BuildRequires para pkg-config (libselinux) para construir com SELinux
suporte [jsc # SMO-15]
Atualização para v2.0.4
* Corrigido um bug em que a saída da pesquisa de imagens do podman não preenchia o
Campo de descrição, pois foi atribuído por engano ao campo ID.
* Corrigido um bug em que podman build - e podman build em um alvo HTTP
iria falhar.
* Corrigido um bug em que o Podman sem raiz derrubava indevidamente o conteúdo copiado
conteúdo de volumes anônimos (# 7130).
* Corrigido um bug em que o Podman às vezes escapava de HTML com caracteres especiais
em sua saída CLI.
* Corrigido um bug em que o comando podman start --attach --interactive iria
imprima a ID do contêiner do contêiner conectado ao sair (# 7068).
* Corrigido um bug em que podman executar --ipc = host --pid = host seria apenas definido
--pid = host e não --ipc = host (# 7100).
* Corrigido um bug em que o argumento --publish para executar podman, podman create
e podman pod create não permitiria vincular a mesma porta de contêiner a
mais de uma porta de host (# 7062).
* Corrigido um bug em que argumentos incorretos para imagens de podman --format podiam
fazer com que o Podman falhe em segfault.
* Corrigido um bug onde podman rmi --force em um ID de imagem com mais de um
nome e pelo menos um contêiner usando a imagem não seria completamente
remova os recipientes usando a imagem (# 7153).
* Corrigido um bug em que o uso de memória em bytes e a porcentagem de uso de memória eram
trocou na saída das estatísticas do podman
--format = json.
* Corrigido um bug onde os endpoints de eventos libpod e compat falhavam se
nenhum filtro foi especificado (# 7078).
* Corrigido um bug onde o campo CgroupVersion nas respostas do compat
O endpoint de informações foi prefixado por "v" (em vez de ser apenas "1" ou "2", como
está documentado).
- Sugira recipientes de katac em vez de recomendá-los. Não é habilitado por
padrão, então é apenas inchaço
Atualização para v2.0.3
* Corrigir tratamento do ponto de entrada
* API de log: adicione contexto para permitir o cancelamento
* Fix API: Criar contêiner com uma configuração inválida
* Remova todas as instâncias de retorno nomeado "err" do Libpod
* Correção: contadores de conexão corretos para conexões sequestradas
* Correção: sequestro de endpoints v2 para seguir a semântica do rfc 7230
* Remova as conexões sequestradas da lista de conexões ativas
* versão / informação: formato: permite mais variantes json
* Imprimir corretamente STDOUT em exec remoto não terminal
* Corrigir comandos de container e pod create para criação remota
* Mascare / sys / dev para evitar vazamento de informações do host
* Certifique-se de que o padrão sig-proxy seja propagado no início
* Adicione SystemdMode para inspecionar contêineres
* Ao determinar o modo systemd, use o comando completo
* Corrigir fiapos
* Preencher os campos não utilizados restantes em `pod inspect`
* Incluir informações de infra-contêiner em `pod inspect`
* play-kube: adicionar suporte para o tipo de pull "IfNotPresent"
* docs: o namespace do usuário não pode ser compartilhado em pods
* Corrigir "Erro: protocolo não reconhecido \" TCP \ "no mapeamento da porta"
* Erro em endereços mac e ip sem root
* Corrija e adicione notas sobre linguagem problemática na base de código
* abi: definir umask e rlimits padrão
* Pacote de referência usado com erros para analisar a tag
* correção: erro de df do sistema quando uma imagem não tem nome
* Corrigir título / descrição da API de geração
* Adicionar função noop disable-content-trust
* consertar play kube não sobrescreve dockerfile ENTRYPOINT
* Suporte para perfil padrão para apparmor
* Bump github.com/containers/common para v0.14.6
* endpoint de eventos: compatibilidade retroativa com o tipo antigo
* endpoint de eventos: corrigir condição de pânico e corrida
* Mude as referências de libpod.conf para containers.conf
* podman.service: defina o tipo como simples
* podman.service: definir doc para podman-system-service
* podman.service: use registries.conf padrão
* podman.service: use killmode padrão
* podman.service: remove o tempo limite de parada
* systemd: link simbólico usuário-> sistema
* vendor golang.org/x/ text@v0.3.3
* Corrigido um bug em que --pids-limit foi analisado incorretamente
* pesquisa: permite curingas
* [CI: DOCS] Não copie policy.json para a imagem de passagem
* Corrigir o teste pid 1 do systemd
* Cirrus: gire as chaves após o repo. renomear
* A página do manual libpod.conf (5) foi removida e todas as referências agora são
apontando para containers.conf (5), que fará parte
do pacote libcontainers-common.
Atualização para podman v2.0.2
* corrigir condição de corrida em `libpod.GetEvents (...)`
* Corrigido bug em que `podman mount` não apresentava erro como sem raiz
* remover a conexão do sistema podman
* Corrija as importações para garantir que a v2 seja usada com libpod
* Atualizar notas de versão para v2.0.2
* specgen: ordem fixa para definir rlimits
* Certifique-se de que umask esteja definido de forma adequada para 'serviço do sistema'
* gerar systemd: melhorar filtro de sinalizadores de pod
* Corrigir um bug com remoção de rede compat APIv2 para registrar um ErrNetworkNotFound
em vez de nada
* Corrige - problemas de sinalização remota
* O limite Pids só deve ser definido se o usuário defini-lo
* Definir modo de console para janelas
* Permitir porta de host vazia no sinalizador --publish
* Adicione uma nota sobre as APIs suportadas pelo `serviço do sistema`
* correção: Não sobrescreva o ponto de entrada se for `nil`
* Defina TMPDIR como / var / tmp por padrão se não estiver definido
* teste: adiciona testes para --usuário e volumes
* container: mover volume chown após geração de especificações
* libpod: cópia de volume honra mapeamentos de namespace
* Corrigir o pânico do `serviço do sistema` devido ao desligamento precoce dos eventos
* interromper o serviço de podman em testes e2e
* Imprimir erros de recipientes individuais em pods
* atualização automática: esclarece os requisitos da unidade systemd
* podman ps truncar o comando
* mover o módulo go para v2
* Contêineres de fornecedores / comum v0.14.4
* Bump para imagebuilder v1.1.6 no branch v2
* Conta para número de porta não padrão no nome da imagem
- Mudanças desde v2.0.1
* Atualize as notas de versão com mais mudanças v2.0.1
* Correção da inspeção para exibir rótulos múltiplos: alterações
* Definir syslog para comandos de saída em nível de log = debug
* Emenda amigável para pr 6751
* podman run / create: suporta todos os transportes
* systemd generate: permite reinicialização manual de unidades de contêiner em pods
* Reverter o envio de - sinalizador remoto para contêineres
* Imprimir mapeamentos de portas em `ps` para rede de compartilhamento ctrs
* vendor github.com/containers/ common@v0.14 .3
* Atualizar notas de versão para v2.0.1
* utils: elimine o mapeamento padrão ao executar uid! = 0
* Defina o sinal de parada para 15 quando não estiver explicitamente definido
* podman untag: erro se a tag não existe
* Reformatar as configurações de inspeção de rede
* APIv2: Retorna `StatusCreated` da criação do volume
* APIv2: fix: Remova `/ json` de EPs de rede compat
* Corrigir suporte a agente ssh
* libpod: especifica mapeamentos para o armazenamento
* APIv2: doc: Fix swagger doc para se referir a volumes
* Adicione a rede podman às conclusões do comando bash
* Corrigido erro de digitação na página de manual para `atualização automática do podman`.
* Adicionar campo de saída JSON para ps
* Conexão de sistema do podman V2
* carregamento de imagem: nenhum argumento necessário
* Adicionar novamente a variável de ambiente PODMAN_USERNS
* Corrija conflitos entre privilegiados e outros sinalizadores
* Bump requer versão ir para 1.13
* Adicione um comando explícito ao recipiente alpino no caso de teste.
* Use POLL_DURATION para cronômetro
* Pare de seguir registros usando temporizadores
* "pod" estava sendo truncado para "po" nos nomes do systemd gerado
arquivos de unidade.
* rootless_linux: melhora a mensagem de erro
* Correção de manipulação de build do podman da sinalização --http-proxy
* corrigir o caminho absoluto do executável `rm`
* Makefile: permite GO_BUILD personalizável
* Cirrus: Altere DEST_BRANCH para v2.0
Atualização para podman v2.0.0
* O comando `podman generate systemd` agora suporta a sinalização` --new` quando
usado com pods, permitindo a criação de serviços portáteis para pods.
* O comando `podman play kube` agora suporta a execução de Kubernetes
Implantação YAML.
* O comando `podman exec` agora suporta a sinalização` --detach` para executar
comandos no contêiner em segundo plano.
* A sinalização `-p` para` podman run` e `podman create` agora suporta
encaminhamento de portas para endereços IPv6.
* Os comandos `podman run`,` podman create` e `podman pod create` agora
suporta um sinalizador `--replace` para remover e substituir qualquer contêiner existente
(ou, para `pod create`, pod) com o mesmo nome
* A sinalização `--restart-policy` para` podman run` e `podman create` agora
suporta a política de reinicialização `a menos que interrompido`.
* A sinalização `--log-driver` para` podman run` e `podman create` agora suporta
o driver `none`, que não registra a saída do contêiner.
* A sinalização `--mount` para` podman run` e `podman create` agora aceita
opção `readonly` como um apelido para` ro`.
* O comando `podman generate systemd` agora suporta o
os argumentos `--container-prefix`,` --pod-prefix` e `--separator` para
controlar o nome dos arquivos de unidade gerados.
* O comando `podman network ls` agora suporta a sinalização` --filter` para
resultados do filtro.
* O comando `podman auto-update` agora suporta a especificação de um authfile para
use ao extrair novas imagens por contêiner usando o
rótulo `io.containers.autoupdate.authfile`.
* Corrigido um bug em que o comando `podman exec` registrava no journald quando
executado em contêineres conectados ao journald
([# 6555] (https://github.com/containers/libpod/issues/6555)).
* Corrigido um bug onde o comando `podman auto-update` não preservava
o sistema operacional e a arquitetura da imagem original ao puxar uma substituição
([# 6613] (https://github.com/containers/libpod/issues/6613)).
* Corrigido um bug onde o comando `podman cp` poderia criar um` merged` extra
diretório ao copiar para um diretório existente
([# 6596] (https://github.com/containers/libpod/issues/6596)).
* Corrigido um bug em que o comando `podman pod stats` travava
em pods executados com `--network = host`
([# 5652] (https://github.com/containers/libpod/issues/5652)).
* Corrigido um bug em que os logs de contêineres gravados no journald não incluíam
o nome do contêiner.
* Corrigido um bug em que `podman network inspect` e` podman network rm`
os comandos não manipulavam adequadamente caminhos de configuração CNI não padrão
([# 6212] (https://github.com/containers/libpod/issues/6212)).
* Corrigido um bug em que o Podman não removia adequadamente os contêineres ao usar
o tempo de execução OCI dos contêineres Kata.
* Corrigido um bug em que `podman inspect` às vezes relatava incorretamente
o modo de rede dos contêineres começou com `--net = none`.
* Podman agora é mais capaz de lidar com casos em que `conmon` é eliminado
antes do contêiner que está monitorando.
Atualize para o podman v1.9.3:
* Corrigido um bug em que, em hosts habilitados para FIPS, os segredos do modo FIPS não eram
devidamente montado em recipientes
* Corrigido um bug em que as compilações executadas no Varlink travavam
* Corrigido um bug em que o salvamento do podman falhava quando a imagem alvo era
especificado por resumo
* Corrigido um bug em que contêineres sem raiz com portas encaminhadas para eles poderiam
pânico e dump core devido a um problema de simultaneidade (# 6018)
* Corrigido um bug em que o Podman sem raiz podia correr ao abrir o sem raiz
namespace do usuário, resultando na falha de execução dos comandos
* Corrigido um bug em que as variáveis de ambiente do proxy HTTP encaminhadas para o
container pelo sinalizador --http-proxy não pôde ser substituído por --env ou
--env-file
* Corrigido um bug em que o Podman sem raiz definia os limites de recursos em cgroups
sistemas v2 que não usavam cgroups gerenciados pelo systemd (e, portanto, não
limites de recursos de suporte), resultando na falha de inicialização dos contêineres
Atualize o podman para v1.9.1:
* Correções de bugs
- Corrigido um bug em que as verificações de integridade poderiam se tornar não funcionais se o contêiner
os caminhos de registro foram definidos manualmente com --log-path e vários contêineres
os logs foram colocados no mesmo diretório
- Corrigido um bug em que Podman sem raiz podia, ao usar um mais antigo
libpod.conf, imprime várias mensagens de aviso sobre um CGroup inválido
configuração do gerente
- Corrigido um bug em que o Podman sem raiz às vezes falhava ao fechar o
namespace de usuário sem raiz ao ingressar nele
Atualize o podman para v1.9.0:
* Recursos
- Suporte experimental foi adicionado para execução de podman
--userns = auto, que aloca automaticamente um UID e GID únicos
intervalo para o namespace de usuário do novo contêiner
- O comando podman play kube agora tem um sinalizador --network para colocar o
pod criado em uma ou mais redes CNI
- O comando podman commit agora suporta um sinalizador --iidfile para escrever o
ID da imagem confirmada para um arquivo
- O suporte inicial para o novo arquivo de configuração containers.conf tem
foi adicionado. containers.conf permite muito mais detalhes
configuração de algumas funcionalidades do Podman
* Alterar
- Houve uma grande limpeza do comando podman info, resultando em
quebra de mudanças. Muitos campos foram renomeados para melhor se adequar ao uso
com APIv2
- Todos os usos da sinalização --timeout foram trocados para dar preferência ao
alternativa --time. A sinalização --timeout continuará a funcionar, mas cara
pages e --help usarão a sinalização --time ao invés
* Correções de bugs
- Corrigido um bug em que algumas montagens de volume do host às vezes não
determinar adequadamente as bandeiras que devem usar ao montar
- Corrigido um bug em que o Podman não estava propagando $ PATH para Conmon e o
Tempo de execução OCI, causando problemas para alguns tempos de execução OCI que o exigiam
- Corrigido um bug em que o Podman sem raiz imprimiria mensagens de erro sobre
falta de suporte para cgroups systemd quando executado em um contêiner sem
suporte cgroup
- Corrigido um bug em que o podman play kube não funcionava corretamente
mapeamentos de porta apenas de contêiner (# 5610)
- Corrigido um bug em que o comando podman container prune não estava podando
contêineres nos estados criado e configurado
- Corrigido um bug em que o Podman não removia corretamente o endereço IP CNI
alocações após uma reinicialização (# 5433)
- Corrigido um bug em que o Podman não estava aplicando corretamente o Seccomp padrão
perfil quando --security-opt não foi fornecido na linha de comando
* API HTTP
- Muitos endpoints da API Libpod foram adicionados, incluindo mudanças,
Ponto de verificação, inicialização e restauração
- Resolvidos problemas em que o comando de serviço do sistema podman atingia o tempo limite
e sair enquanto ainda havia conexões ativas
- A estabilidade geral melhorou muito à medida que preparamos a API para um
lançamento beta em breve com Podman 2.0
* Misc
- A imagem de infra-estrutura padrão para pods foi atualizada para
k8s.gcr.io/pause:3.2 (de 3.1) para resolver um bug na arquitetura
metadados para imagens não AMD64
- O utilitário de rede slirp4netns no Podman sem raiz agora usa Seccomp
filtragem onde disponível para maior segurança
- Atualizado Buildah para v1.14.8
- Contêineres / armazenamento atualizados para v1.18.2
- Contêineres / imagem atualizados para v5.4.3
- Contêineres atualizados / comum para v0.8.1
- Adicionar BUILDFLAGS "systemd" para construir com suporte para registro de journald
(bsc # 1162432)
Atualize o podman para v1.8.2:
* Recursos
- Suporte inicial para atualização automática de contêineres gerenciados via
Os arquivos da unidade Systemd foram mesclados. Isso permite que os contêineres
atualizar automaticamente se uma versão mais recente de sua imagem se tornar
acessível
* Correções de bugs
- Corrigido um bug em que os arquivos de unidade gerados pelo podman geram systemd
--new não forçaria os recipientes a se desprender, fazendo com que a unidade demorasse
fora ao tentar começar
- Corrigido um bug em que a reinicialização do sistema podman poderia excluir sistemas importantes
diretórios se executados sem raiz em instalações criadas por
Podman (# 4831)
- Corrigido um bug em que a imagem criada pelo podman build não configurava corretamente
o sistema operacional e a arquitetura com os quais foram construídos (# 5503)
- Corrigido um bug onde o podman anexado rodava com --sig-proxy habilitado (o
padrão), quando construído com Go 1.14, enviaria repetidamente o sinal 23 para
o processo no contêiner e pode gerar erros quando o
contêiner parado (# 5483)
- Corrigido um bug em que os comandos de execução do podman sem raiz podiam travar quando
portas de encaminhamento
- Corrigido um bug em que o Podman sem raiz não funcionava quando / proc era
montado com a opção hidepid definida
- Corrigido um bug em que o comando de serviço do sistema podman usaria grande
quantidades de CPU quando --timeout foi definido como 0 (# 5531)
* API HTTP
- Suporte inicial para endpoints Libpod relacionados à criação e
operando em listas de manifesto de imagem foi adicionado
- Os endpoints da API Libpod Healthcheck e Events agora são suportados
- O ponto de extremidade Swagger agora pode lidar com casos em que não há Swagger
documentação foi gerada
Atualize o podman para v1.8.1:
* Recursos
- Muitos sinalizadores relacionados à rede foram adicionados ao podman pod create para
permitir a personalização de redes de pod, incluindo
--add-host, --dns, --dns-opt, --dns-search, --ip,
--mac-address, --network e --no-hosts
- O comando podman ps --format = json agora inclui o ID da imagem
recipientes foram criados com
- Os comandos podman run e podman create agora apresentam um
--rmi sinalizador para remover a imagem que o contêiner estava usando depois de sair
(se nenhum outro contêiner estiver usando a referida imagem)
([# 4628] (https://github.com/containers/libpod/issues/4628))
- Os comandos podman create e podman run agora oferecem suporte ao
--device-cgroup-rule flag (# 4876)
- Embora a API HTTP permaneça em alfa, muitas correções e adições
desembarcou. Eles estão documentados em uma subseção separada abaixo
- Os comandos podman create e podman run agora apresentam um
Sinalizador --no-healthcheck para desativar as verificações de integridade de um contêiner (# 5299)
- Os contêineres agora reconhecem o rótulo io.containers.capabilities, que
especifica uma lista de recursos exigidos pela imagem para ser executada. Estes
recursos serão usados, desde que sejam mais restritivos do que
os recursos padrão usados
- YAML produzido pelo comando podman generate kube agora inclui SELinux
configuração passada para o contêiner via
--security-opt label = ... (# 4950)
* Correções de bugs
- CVE-2020-1726 corrigido, um problema de segurança em que os volumes preenchidos manualmente
antes de ser montado em um contêiner poderia ter esse conteúdo
sobrescrito ao ser montado pela primeira vez em um contêiner
- Corrigido um bug em que contêineres de Podman com namespaces de usuário no CNI
redes com o plugin DNS habilitado não teriam o plugin DNS
nameserver adicionado ao resolv.conf
([# 5256] (https://github.com/containers/libpod/issues/5256))
- Corrigido um bug em que o rastreamento / caracteres nas definições de volume de imagem
pode fazer com que eles não sejam substituídos por uma montagem especificada pelo usuário no
mesmo local
([# 5219] (https://github.com/containers/libpod/issues/5219))
- Corrigido um bug onde a opção de rótulo em libpod.conf, usada para desabilitar
SELinux por padrão, não estava sendo respeitado (# 5087)
- Corrigido um bug em que os comandos podman login e podman logout eram necessários
o registro para entrar deve ser especificado (# 5146)
- Corrigido um bug em que contêineres Podman sem raiz desconectados não podiam
portas de encaminhamento (# 5167)
- Corrigido um bug em que o Podman sem raiz poderia falhar ao executar se a pausa
processo morreu
- Correção de um bug em que o Podman ignorava rótulos especificados com apenas
uma chave e nenhum valor (# 3854)
- Corrigido um bug em que o Podman falhava em criar volumes nomeados quando o
o sistema de arquivos de apoio não suportava rotulagem SELinux (# 5200)
- Corrigido um bug onde --detach-keys = "" não desabilitava a desconexão de um
recipiente (# 5166)
- Corrigido um bug em que o comando podman ps era muito agressivo quando
filtrar contêineres e forçaria --all on em muitas situações
- Corrigido um bug em que o comando podman play kube estava ignorando a imagem
configuração, incluindo volumes, diretório de trabalho, rótulos e parada
sinal (# 5174)
- Corrigido um bug onde os campos Created e CreatedTime em imagens de podman
--format = json foram nomeados incorretamente, o que também quebrou a saída do modelo Go para
aqueles campos
([# 5110] (https://github.com/containers/libpod/issues/5110))
- Corrigido um bug em que contêineres Podman sem raiz com portas encaminhadas
pode travar quando iniciado (# 5182)
- Corrigido um bug em que podman pull poderia falhar ao analisar nomes de registro
incluindo números de porta
- Corrigido um bug em que o Podman tentava validar a imagem incorretamente
SO e arquitetura ao iniciar contêineres
- Corrigido um bug em que a conclusão do Bash para podman build -f não listava
arquivos disponíveis que podem ser construídos (# 3878)
- Corrigido um bug em que podman commit --change funcionava incorretamente
validação, resultando na rejeição de alterações válidas (# 5148)
- Corrigido um bug em que os logs de podman --tail podiam ocupar grandes quantidades
de memória quando o arquivo de log de um contêiner era grande (# 5131)
- Corrigido um bug em que o Podman às vezes gerava firewall incorretamente
regras em sistemas que usam firewalld
- Corrigido um bug em que o comando podman inspect não exibia a rede
informações para contêineres de forma adequada se um contêiner juntou vários CNI
redes ([# 4907] (https://github.com/containers/libpod/issues/4907))
- Corrigido um bug em que a sinalização --uts para criar e executar o podman poderia
permitir apenas a especificação de contêineres por ID completo (# 5289)
- Corrigido um bug em que o Podman sem raiz podia falhar em segfault quando passava por um grande
número de descritores de arquivo
- Corrigido um bug em que o comando podman port estava interpretando incorretamente
argumentos adicionais como nomes de contêineres, em vez
de números de porta
- Corrigido um bug em que as unidades criadas pelo podman geram o systemd não
dependem dos alvos da rede e, portanto, podem começar antes do sistema
a rede estava pronta (# 4130)
- Corrigido um bug em que as sessões de exec em contêineres que não especificavam um
o usuário não herdaria grupos suplementares adicionados ao contêiner via
--group-add
- Corrigido um bug em que o Podman não respeitava o ambiente $ TMPDIR
variável para colocar grandes arquivos temporários durante algumas operações
(por exemplo, podman pull)
([# 5411] (https://github.com/containers/libpod/issues/5411))
* API HTTP
- Suporte inicial para conexões seguras a servidores via túnel SSH
foi adicionado
- Suporte inicial para libpod create e logs de endpoints para
recipientes foram adicionados
- Adicionado um / swagger / endpoint para servir a documentação da API
- O endpoint json para contêineres recebeu muitas correções
- A filtragem de imagens e contêineres foi bastante aprimorada, com muitos
bugs corrigidos e documentação melhorada
- Endpoints de criação de imagem (commit, pull, etc) viram muitas correções
- O tempo limite do servidor foi corrigido para que as operações longas não sejam mais
acionar o tempo limite e desligar o servidor
- O endpoint de estatísticas para contêineres passou por grandes correções e agora
fornece saída precisa
- O tratamento do código de status HTTP 304 foi corrigido para todos os endpoints
- Muitas correções foram feitas na documentação da API para garantir que corresponda
o código
* Misc
- O campo Criado para imagens de podman --format = json foi renomeado para
CreatedSince como parte da correção para (# 5110). Modelos Go usando o
o nome antigo ainda deve funcionar
- O campo CreatedTime para imagens de podman --format = json foi renomeado
para CreatedAt como parte da correção para (# 5110). Modelos Go usando o
nome antigo ainda deve funcionar
- O filtro anterior para imagens de podman foi renomeado para desde
Compatibilidade do Docker. Usar antes ainda funcionará, mas a documentação
foi alterado para usar o novo filtro desde
- Usar a sinalização --password para fazer login no podman agora avisa que as senhas são
sendo passado em texto simples
- Alguns casos comuns em que Podman travaria foram corrigidos para avisar
o usuário que o sistema podman renumerará deve ser executado para resolver o
impasse
- Configure br_netfilter para podman automaticamente (bsc # 1165738) O
gatilho só é executado ao atualizar podman-cni-config enquanto o
o comando estava em execução
conmon foi atualizado para v2.0.20 (bsc # 1175821)
- journald: corrige o nome do contêiner de registro
- registro de contêiner: Implemente nenhum driver - "off", "null" ou "none" todos
trabalhos.
- ctrl: avisa se não conseguirmos desvincular
- Abandone chamadas fsync
- Colete PIDs antes de executar o comando de saída
- Corrigir a análise do caminho do log
- Adicionar opção --sync para evitar que conmon bifurcação dupla
- Adicionar a opção --no-sync-log para instruir o Conmon a não sincronizar os logs do
contentores ao encerrar. Este recurso corrige uma regressão onde nós
descartou incondicionalmente a sincronização do log. É possível que os logs do contêiner
pode ser corrompido em um desligamento repentino. Se você precisar de logs de contêiner para
permanecer em estado consistente após um desligamento repentino, atualize de
v2.0.19 a v2.0.20
- Atualização para v2.0.17:
- Adicionar opção para atrasar a execução do comando de saída
- Atualização para v2.0.16:
- tty: liberar dados pendentes quando fd estiver pronto
- Ativar suporte para registro de journald (bsc # 1162432)
- Atualização para v2.0.15:
- status da loja enquanto espera por pid
- Atualização para v2.0.14:
- reduzir o uso de emenda (2)
- evite ficar pendurado em stdin
- stdio: às vezes sai do loop principal depois que o io é concluído
- ignorar sigpipe
- Atualize para v2.0.12
- oom: conserta possível corrida entre as etapas de verificação
- Atualização para v2.0.11
- log: rejeitar --log-tag com arquivo k8s
- canais de arquivos std chmod
- ajuste a pontuação para -1000 para evitar que o conmon seja morto por OOM
- container OOM: verifique se o cgroup não foi limpo antes de relatar
OOM
- registro de diário: escreva em / dev / null em vez de -1
fuse-overlayfs foi atualizado para 1.1.2 (bsc # 1175821):
- conserta vazamento de memória ao criar arquivos de whiteout.
- corrige a pesquisa para uid de estouro quando é diferente do gid de estouro.
- use openat2 (2) quando disponível.
- aceite "ro" como opção de montagem.
- fix set mtime para um symlink.
- corrigir alguns problemas relatados pela análise estática.
- corrige o loop infinito potencial em uma leitura curta.
- corrigir a criação de um diretório se o destino já existir na parte superior
camada.
- relatar corretamente o número de links para um diretório também para os subsequentes
chamadas estatísticas
- pare de procurar o ino nas camadas inferiores se o arquivo não puder ser
aberto
- certifique-se de que o destino seja excluído antes de renomear (2). isto
evita que uma sobra de diretório faça com que a exclusão falhe com EEXIST.
- honra --debug.
libcontainers-common foi atualizado para corrigir:
- Correções para% _libexecdir mudando para / usr / libexec (bsc # 1174075)
- Adicionados containers / tarball comum para a página de manual containers.conf (5)
- Instale a configuração padrão containers.conf em / usr / share / containers
- o repositório libpod no github foi renomeado para podman
- Atualize para a imagem 5.5.1
- Adicionar documentação para credHelpera
- Adicionar padrões para usar o caminho da política sem raiz
- Atualize libpod / podman para 2.0.3
- docs: o namespace do usuário não pode ser compartilhado em pods
- Mude as referências de libpod.conf para containers.conf
- Permitir porta de host vazia no sinalizador --publish
- atualize o login do documento, veja config.json como válido
- Atualize o armazenamento para 1.20.2
- Adicionar skip_mount_home
- Remova a diferença restante entre o SLE e o pacote openSUSE e envie
a configuração padrão de some mounts.conf em ambas as plataformas. Enquanto o
fontes para o ponto de montagem não existem no openSUSE por padrão este
a configuração basicamente não terá efeito no openSUSE. (jsc # SLE-12122,
bsc # 1175821)
- Atualize para a imagem 5.4.4
- Remova as referências de registries.conf VERSION 2 da página de manual
- Página inicial do arquivo de autenticação
- Adicione $ HOME / .config / containers / certs.d a perHostCertDirPath
- Adicione $ HOME / .config / containers / registries.conf ao caminho de configuração
- registries.conf.d: adicione posições para o registries.conf
- atualização para libpod 1.9.3
- userns: suporte --userns = auto
- Mude para o uso de --time em vez de --timeout para corresponder melhor ao Docker
- Adicionar suporte para especificar redes CNI no podman play kube
- páginas man: consertar inconsistências
- Atualização para armazenamento 1.19.1
- userns: adiciona suporte para auto
- armazenar: altera o usuário padrão para contêineres
- config: honor XDG_CONFIG_HOME
- Remova a solução alternativa /var/lib/ca-certificates/pem/SUSE.pem novamente. isto
nunca acabou no SLES e uma maneira diferente de corrigir o problema subjacente
está sendo trabalhado.
- Adicionar registry.opensuse.org como registro padrão [bsc # 1171578]
- Adicione /var/lib/ca-certificates/pem/SUSE.pem às montagens SLES. Isto para
fazer com que o contêiner-suseconnect funcione na nuvem pública sob demanda
imagens. Ele precisa desse arquivo para poder verificar o servidor
certificados dos servidores RMT hospedados na nuvem pública.
(https://github.com/SUSE/container-suseconnect/issues/41)
Esta atualização foi importada do SUSE: SLE-15-SP1: Projeto de atualização de atualização.
Instruções do patch:
Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
como YaST online_update ou "patch zypper".
Como alternativa, você pode executar o comando listado para o seu produto:
- openSUSE Leap 15.2:
zypper em patch -t openSUSE-2020-1559 = 1
Lista de Pacotes:
- openSUSE Leap 15.2 (noarch):
libcontainers-common-20200727-lp152.2.3.1
podman-cni-config-2.0.6-lp152.4.3.1
- openSUSE Leap 15.2 (x86_64):
conmon-2.0.20-lp152.4.3.1
conmon-debuginfo-2.0.20-lp152.4.3.1
fuse-overlayfs-1.1.2-lp152.2.3.1
fuse-overlayfs-debuginfo-1.1.2-lp152.2.3.1
fuse-overlayfs-debugsource-1.1.2-lp152.2.3.1
podman-2.0.6-lp152.4.3.1
Referências:
https://www.suse.com/security/cve/CVE-2020-1726.html
https://bugzilla.suse.com/1162432
https://bugzilla.suse.com/1164090
https://bugzilla.suse.com/1165738
https://bugzilla.suse.com/1171578
https://bugzilla.suse.com/1174075
https://bugzilla.suse.com/1175821
https://bugzilla.suse.com/1175957
-
Até a próxima !!
Nenhum comentário:
Postar um comentário