FERRAMENTAS LINUX: Atualização moderada de segurança do openSUSE para o conmon, fuse-overlayfs, libcontainers-common, podman, aviso openSUSE: 2020: 1559-1

segunda-feira, 28 de setembro de 2020

Atualização moderada de segurança do openSUSE para o conmon, fuse-overlayfs, libcontainers-common, podman, aviso openSUSE: 2020: 1559-1

 


Confira !!

Uma atualização que resolve uma vulnerabilidade e tem 6 correções agora está disponível.

   Atualização de segurança do openSUSE: atualização de segurança para conmon, fuse-overlayfs, libcontainers-common, podman

______________________________________________________________________________


ID do anúncio: openSUSE-SU-2020: 1559-1

Avaliação: moderada

Referências: # 1162432 # 1164090 # 1165738 # 1171578 # 1174075 

                    # 1175821 # 1175957 

Referências cruzadas: CVE-2020-1726

Produtos afetados:

                    openSUSE Leap 15.2

______________________________________________________________________________


   Uma atualização que resolve uma vulnerabilidade e tem 6 correções é

   agora disponível.


Descrição:


   Esta atualização para conmon, fuse-overlayfs, libcontainers-common, correções de podman

   os seguintes problemas:


   podman foi atualizado para v2.0.6 (bsc # 1175821)


   - instalar unidades do systemd ausentes para a nova API Rest (bsc # 1175957) e um

     poucas páginas de manual que estavam faltando antes

   - Abandone os bits relacionados à API varlink (em favor da nova API)

   - corrigir local de instalação para conclusões zsh


    * Corrigido um bug ao executar o systemd em um contêiner em um sistema cgroups v1

      iria falhar.

    * Corrigido um bug onde / etc / passwd podia ser recriado toda vez que um

      o contêiner é reiniciado se o / etc / passwd do contêiner não continha

      uma entrada para o usuário com o qual o contêiner foi iniciado.

    * Corrigido um bug em que os contêineres sem um arquivo / etc / passwd especificando um

      o usuário não root não iniciaria.

    * Corrigido um bug em que a sinalização --remote às vezes não tornava remoto

      conexões e, em vez disso, tentaria executar o Podman localmente.


   Atualize para v2.0.6:


   * Recursos


     - O Rootless Podman agora adicionará uma entrada em / etc / passwd para o usuário que

       executou o Podman se executado com --userns = keep-id.

     - O comando de conexão do sistema podman foi reformulado para oferecer suporte

       conexões múltiplas e reativadas para uso!

     - Podman agora tem um novo sinalizador global, --connection, para especificar um

       conexão a uma instância remota da API Podman.


   * Alterar


     - Integração automática com o sistema do Podman (ativado pelo

       --systemd = true flag, definido por padrão) agora será ativado para contêineres

       usando / usr / local / sbin / init como seu comando, em vez de apenas

       / usr / sbin / init e / sbin / init (e qualquer caminho terminado em systemd).

     - Perfis Seccomp especificados pelo sinalizador --security-opt seccomp = ... para

       podman create e podman run agora serão homenageados mesmo se o contêiner

       foi criado usando --privileged.


   * Correções de bugs


     - Corrigido um bug em que o podman play kube não respeitava o hostIP

       campo para encaminhamento de porta (# 5964).

     - Corrigido um bug em que o comando podman generate systemd entrava em pânico

       uma política de reinicialização inválida sendo especificada (# 7271).

     - Corrigido um bug em que o comando podman images poderia demorar muito

       tempo (vários minutos) para concluir quando um grande número de imagens foram

       presente.

     - Corrigido um bug em que o comando podman logs com a sinalização --tail iria

       não funciona corretamente quando uma grande quantidade de saída seria impressa

       ((# 7230) [https://github.com//issues/7230]).

     - Corrigido um bug em que o comando podman exec com Podman remoto não

       retornar um código de saída diferente de zero quando a sessão de exec falhou ao iniciar

       (por exemplo, invocar um comando inexistente) (# 6893).

     - Corrigido um bug em que o comando de carregamento do podman com o Podman remoto fazia

       não respeitar as tags especificadas pelo usuário (# 7124).

     - Corrigido um bug em que o comando podman system service, quando executado como um

       usuário não root por Systemd, não manipulou corretamente a pausa do Podman

       processo e não reiniciaria corretamente como resultado (# 7180).

     - Corrigido um bug em que a sinalização --publish para criar, executar o podman e

       podman pod create não manipulou adequadamente um IP de host de 0.0.0.0

       (tentativa de vinculação ao literal 0.0.0.0, em vez de todos os IPs no

       sistema) (# 7104).

     - Corrigido um bug em que o comando podman start --attach não imprimia

       o código de saída do contêiner quando o comando saiu devido ao contêiner

       saindo.

     - Corrigido um bug em que o comando podman rm com Podman remoto não

       remover volumes, mesmo se o sinalizador --volumes foi especificado (# 7128).

     - Corrigido um bug onde o podman executa o comando com o Podman remoto e o

       O sinalizador --rm pode sair antes que o contêiner seja totalmente removido.

     - Corrigido um bug em que --pod new: ... flag to podman run e podman

       criar criaria um pod que não compartilhava nenhum namespace.

     - Corrigido um bug em que a sinalização --preserve-fds para execução do podman e podman

       exec pode fechar os descritores de arquivo errados ao tentar fechar

       descritores fornecidos pelo usuário após passá-los para o contêiner.

     - Corrigido um bug onde as variáveis ​​de ambiente padrão ($ PATH e $ TERM) eram

       não definido em contêineres quando não fornecido pela imagem.

     - Corrigido um bug em que os contêineres de infra do pod não eram desmontados corretamente

       depois de sair.

     - Corrigido um bug em que as redes criadas com a rede podman criam com um

       A sub-rede IPv6 não definiu corretamente uma rota padrão IPv6.

     - Corrigido um bug em que o comando podman save não funcionava corretamente quando

       sua saída foi canalizada para outro comando (# 7017).

     - Corrigido um bug em que os contêineres usando um init systemd em um cgroups v1

       sistema pode vazar montagens em / sys / fs / cgroup / systemd para o host.

     - Corrigido um bug em que a compilação do podman não gerava um evento em

       conclusão (# 7022).

     - Corrigido um bug em que o comando de histórico do podman com Podman remoto

       imprimiu tempos de criação incorretos para camadas (# 7122).

     - Corrigido um bug em que o Podman não criava diretórios de trabalho

       especificado pela imagem do contêiner, caso não existissem.

     - Corrigido um bug em que o Podman não limpava o CMD da imagem do contêiner se

       o usuário substituiu ENTRYPOINT (# 7115).

     - Corrigido um bug em que o erro de análise de nomes de imagens não era totalmente relatado

       (parte da mensagem de erro contendo o problema exato foi descartada).

     - Corrigido um bug em que o comando podman images com Podman remoto não

       suporta impressão de tags de imagem em modelos Go fornecidos para o --format

       bandeira (# 7123).

     - Corrigido um bug em que o comando podman rmi --force não tentava

       desmontar os contêineres que estava removendo, o que poderia causar uma falha ao

       remova a imagem.

     - Corrigido um bug em que o podman gerar o comando systemd --new poderia

       citar incorretamente argumentos para o Podman que continham espaço em branco,

       levando a arquivos de unidade não funcionais (# 7285).

     - Corrigido um bug em que o comando podman version não incluía corretamente

       tempo de construção e commit do Git.

     - Correção de um bug em que o systemd era executado em um contêiner Podman em um sistema

       que não usasse o gerenciador de cgroup systemd iria falhar (# 6734).

     - Corrigido um bug em que os recursos de --cap-add não eram adicionados corretamente

       quando um contêiner foi iniciado como um usuário não root via --user.

     - Correção de um bug em que os contêineres de infra do pod não eram limpos adequadamente

       quando pararam, causando problemas de rede (# 7103).


   * API


     - Corrigido um bug em que os endpoints libpod e compat Build não aceitavam

       o tipo de conteúdo do aplicativo / tar (em vez de aceitar apenas

       application / x-tar) (# 7185).

     - Corrigido um bug onde o endpoint libpod Exists tentava escrever um

       segundo cabeçalho em algumas condições de erro (# 7197).

     - Corrigido um bug onde compat e libpod Network Inspect and Network Remove

       endpoints retornariam 500 em vez de 404 quando a rede solicitada

       não foi encontrado.

     - Adicionado um endpoint _ping com versão (por exemplo, https: //localhost/v1.40/_ping).

     - Corrigido um bug em que os contêineres eram iniciados por meio de um sistema gerenciado

       instância da API REST seria encerrada quando o serviço do sistema podman

       desligado devido ao tempo limite de inatividade (# 7294).

     - Adicionada verificação de parâmetro mais forte para a criação de rede libpod

       endpoint para garantir que a máscara de sub-rede seja um valor válido.

     - O parâmetro de URL do pod para o endpoint da lista de contêineres Libpod foi

       descontinuada; as informações anteriormente geradas pelo pod testará

       agora seja incluído na resposta incondicionalmente.


   - Mudança de requisitos rígidos para AppArmor para Recomendados. Eles não são necessários para

     runtime ou com SELinux, mas já instalado se o AppArmor for usado

     [jsc # SMO-15]

   - Adicionar BuildRequires para pkg-config (libselinux) para construir com SELinux

     suporte [jsc # SMO-15]


   Atualização para v2.0.4


   * Corrigido um bug em que a saída da pesquisa de imagens do podman não preenchia o

     Campo de descrição, pois foi atribuído por engano ao campo ID.

   * Corrigido um bug em que podman build - e podman build em um alvo HTTP

     iria falhar.

   * Corrigido um bug em que o Podman sem raiz derrubava indevidamente o conteúdo copiado

     conteúdo de volumes anônimos (# 7130).

   * Corrigido um bug em que o Podman às vezes escapava de HTML com caracteres especiais

     em sua saída CLI.

   * Corrigido um bug em que o comando podman start --attach --interactive iria

     imprima a ID do contêiner do contêiner conectado ao sair (# 7068).

   * Corrigido um bug em que podman executar --ipc = host --pid = host seria apenas definido

     --pid = host e não --ipc = host (# 7100).

   * Corrigido um bug em que o argumento --publish para executar podman, podman create

     e podman pod create não permitiria vincular a mesma porta de contêiner a

     mais de uma porta de host (# 7062).

   * Corrigido um bug em que argumentos incorretos para imagens de podman --format podiam

     fazer com que o Podman falhe em segfault.

   * Corrigido um bug onde podman rmi --force em um ID de imagem com mais de um

     nome e pelo menos um contêiner usando a imagem não seria completamente

     remova os recipientes usando a imagem (# 7153).

   * Corrigido um bug em que o uso de memória em bytes e a porcentagem de uso de memória eram

     trocou na saída das estatísticas do podman

     --format = json.

   * Corrigido um bug onde os endpoints de eventos libpod e compat falhavam se

     nenhum filtro foi especificado (# 7078).

   * Corrigido um bug onde o campo CgroupVersion nas respostas do compat

     O endpoint de informações foi prefixado por "v" (em vez de ser apenas "1" ou "2", como

     está documentado).


   - Sugira recipientes de katac em vez de recomendá-los. Não é habilitado por

     padrão, então é apenas inchaço


   Atualização para v2.0.3


   * Corrigir tratamento do ponto de entrada

   * API de log: adicione contexto para permitir o cancelamento

   * Fix API: Criar contêiner com uma configuração inválida

   * Remova todas as instâncias de retorno nomeado "err" do Libpod

   * Correção: contadores de conexão corretos para conexões sequestradas

   * Correção: sequestro de endpoints v2 para seguir a semântica do rfc 7230

   * Remova as conexões sequestradas da lista de conexões ativas

   * versão / informação: formato: permite mais variantes json

   * Imprimir corretamente STDOUT em exec remoto não terminal

   * Corrigir comandos de container e pod create para criação remota

   * Mascare / sys / dev para evitar vazamento de informações do host

   * Certifique-se de que o padrão sig-proxy seja propagado no início

   * Adicione SystemdMode para inspecionar contêineres

   * Ao determinar o modo systemd, use o comando completo

   * Corrigir fiapos

   * Preencher os campos não utilizados restantes em `pod inspect`

   * Incluir informações de infra-contêiner em `pod inspect`

   * play-kube: adicionar suporte para o tipo de pull "IfNotPresent"

   * docs: o namespace do usuário não pode ser compartilhado em pods

   * Corrigir "Erro: protocolo não reconhecido \" TCP \ "no mapeamento da porta"

   * Erro em endereços mac e ip sem root

   * Corrija e adicione notas sobre linguagem problemática na base de código

   * abi: definir umask e rlimits padrão

   * Pacote de referência usado com erros para analisar a tag

   * correção: erro de df do sistema quando uma imagem não tem nome

   * Corrigir título / descrição da API de geração

   * Adicionar função noop disable-content-trust

   * consertar play kube não sobrescreve dockerfile ENTRYPOINT

   * Suporte para perfil padrão para apparmor

   * Bump github.com/containers/common para v0.14.6

   * endpoint de eventos: compatibilidade retroativa com o tipo antigo

   * endpoint de eventos: corrigir condição de pânico e corrida

   * Mude as referências de libpod.conf para containers.conf

   * podman.service: defina o tipo como simples

   * podman.service: definir doc para podman-system-service

   * podman.service: use registries.conf padrão

   * podman.service: use killmode padrão

   * podman.service: remove o tempo limite de parada

   * systemd: link simbólico usuário-> sistema

   * vendor golang.org/x/ text@v0.3.3

   * Corrigido um bug em que --pids-limit foi analisado incorretamente

   * pesquisa: permite curingas

   * [CI: DOCS] Não copie policy.json para a imagem de passagem

   * Corrigir o teste pid 1 do systemd

   * Cirrus: gire as chaves após o repo. renomear

   * A página do manual libpod.conf (5) foi removida e todas as referências agora são

     apontando para containers.conf (5), que fará parte

     do pacote libcontainers-common.


   Atualização para podman v2.0.2


   * corrigir condição de corrida em `libpod.GetEvents (...)`

   * Corrigido bug em que `podman mount` não apresentava erro como sem raiz

   * remover a conexão do sistema podman

   * Corrija as importações para garantir que a v2 seja usada com libpod

   * Atualizar notas de versão para v2.0.2

   * specgen: ordem fixa para definir rlimits

   * Certifique-se de que umask esteja definido de forma adequada para 'serviço do sistema'

   * gerar systemd: melhorar filtro de sinalizadores de pod

   * Corrigir um bug com remoção de rede compat APIv2 para registrar um ErrNetworkNotFound

     em vez de nada

   * Corrige - problemas de sinalização remota

   * O limite Pids só deve ser definido se o usuário defini-lo

   * Definir modo de console para janelas

   * Permitir porta de host vazia no sinalizador --publish

   * Adicione uma nota sobre as APIs suportadas pelo `serviço do sistema`

   * correção: Não sobrescreva o ponto de entrada se for `nil`

   * Defina TMPDIR como / var / tmp por padrão se não estiver definido

   * teste: adiciona testes para --usuário e volumes

   * container: mover volume chown após geração de especificações

   * libpod: cópia de volume honra mapeamentos de namespace

   * Corrigir o pânico do `serviço do sistema` devido ao desligamento precoce dos eventos

   * interromper o serviço de podman em testes e2e

   * Imprimir erros de recipientes individuais em pods

   * atualização automática: esclarece os requisitos da unidade systemd

   * podman ps truncar o comando

   * mover o módulo go para v2

   * Contêineres de fornecedores / comum v0.14.4

   * Bump para imagebuilder v1.1.6 no branch v2

   * Conta para número de porta não padrão no nome da imagem

   - Mudanças desde v2.0.1

   * Atualize as notas de versão com mais mudanças v2.0.1

   * Correção da inspeção para exibir rótulos múltiplos: alterações

   * Definir syslog para comandos de saída em nível de log = debug

   * Emenda amigável para pr 6751

   * podman run / create: suporta todos os transportes

   * systemd generate: permite reinicialização manual de unidades de contêiner em pods

   * Reverter o envio de - sinalizador remoto para contêineres

   * Imprimir mapeamentos de portas em `ps` para rede de compartilhamento ctrs

   * vendor github.com/containers/ common@v0.14 .3

   * Atualizar notas de versão para v2.0.1

   * utils: elimine o mapeamento padrão ao executar uid! = 0

   * Defina o sinal de parada para 15 quando não estiver explicitamente definido

   * podman untag: erro se a tag não existe

   * Reformatar as configurações de inspeção de rede

   * APIv2: Retorna `StatusCreated` da criação do volume

   * APIv2: fix: Remova `/ json` de EPs de rede compat

   * Corrigir suporte a agente ssh

   * libpod: especifica mapeamentos para o armazenamento

   * APIv2: doc: Fix swagger doc para se referir a volumes

   * Adicione a rede podman às conclusões do comando bash

   * Corrigido erro de digitação na página de manual para `atualização automática do podman`.

   * Adicionar campo de saída JSON para ps

   * Conexão de sistema do podman V2

   * carregamento de imagem: nenhum argumento necessário

   * Adicionar novamente a variável de ambiente PODMAN_USERNS

   * Corrija conflitos entre privilegiados e outros sinalizadores

   * Bump requer versão ir para 1.13

   * Adicione um comando explícito ao recipiente alpino no caso de teste.

   * Use POLL_DURATION para cronômetro

   * Pare de seguir registros usando temporizadores

   * "pod" estava sendo truncado para "po" nos nomes do systemd gerado

     arquivos de unidade.

   * rootless_linux: melhora a mensagem de erro

   * Correção de manipulação de build do podman da sinalização --http-proxy

   * corrigir o caminho absoluto do executável `rm`

   * Makefile: permite GO_BUILD personalizável

   * Cirrus: Altere DEST_BRANCH para v2.0


   Atualização para podman v2.0.0


   * O comando `podman generate systemd` agora suporta a sinalização` --new` quando

     usado com pods, permitindo a criação de serviços portáteis para pods.

   * O comando `podman play kube` agora suporta a execução de Kubernetes

     Implantação YAML.

   * O comando `podman exec` agora suporta a sinalização` --detach` para executar

     comandos no contêiner em segundo plano.

   * A sinalização `-p` para` podman run` e `podman create` agora suporta

     encaminhamento de portas para endereços IPv6.

   * Os comandos `podman run`,` podman create` e `podman pod create` agora

     suporta um sinalizador `--replace` para remover e substituir qualquer contêiner existente

     (ou, para `pod create`, pod) com o mesmo nome

   * A sinalização `--restart-policy` para` podman run` e `podman create` agora

     suporta a política de reinicialização `a menos que interrompido`.

   * A sinalização `--log-driver` para` podman run` e `podman create` agora suporta

     o driver `none`, que não registra a saída do contêiner.

   * A sinalização `--mount` para` podman run` e `podman create` agora aceita

     opção `readonly` como um apelido para` ro`.

   * O comando `podman generate systemd` agora suporta o

     os argumentos `--container-prefix`,` --pod-prefix` e `--separator` para

     controlar o nome dos arquivos de unidade gerados.

   * O comando `podman network ls` agora suporta a sinalização` --filter` para

     resultados do filtro.

   * O comando `podman auto-update` agora suporta a especificação de um authfile para

     use ao extrair novas imagens por contêiner usando o

     rótulo `io.containers.autoupdate.authfile`.

   * Corrigido um bug em que o comando `podman exec` registrava no journald quando

     executado em contêineres conectados ao journald

     ([# 6555] (https://github.com/containers/libpod/issues/6555)).

   * Corrigido um bug onde o comando `podman auto-update` não preservava

     o sistema operacional e a arquitetura da imagem original ao puxar uma substituição

     ([# 6613] (https://github.com/containers/libpod/issues/6613)).

   * Corrigido um bug onde o comando `podman cp` poderia criar um` merged` extra

     diretório ao copiar para um diretório existente

     ([# 6596] (https://github.com/containers/libpod/issues/6596)).

   * Corrigido um bug em que o comando `podman pod stats` travava

     em pods executados com `--network = host`

      ([# 5652] (https://github.com/containers/libpod/issues/5652)).

   * Corrigido um bug em que os logs de contêineres gravados no journald não incluíam

     o nome do contêiner.

   * Corrigido um bug em que `podman network inspect` e` podman network rm`

     os comandos não manipulavam adequadamente caminhos de configuração CNI não padrão

     ([# 6212] (https://github.com/containers/libpod/issues/6212)).

   * Corrigido um bug em que o Podman não removia adequadamente os contêineres ao usar

     o tempo de execução OCI dos contêineres Kata.

   * Corrigido um bug em que `podman inspect` às vezes relatava incorretamente

     o modo de rede dos contêineres começou com `--net = none`.

   * Podman agora é mais capaz de lidar com casos em que `conmon` é eliminado

     antes do contêiner que está monitorando.


   Atualize para o podman v1.9.3:


   * Corrigido um bug em que, em hosts habilitados para FIPS, os segredos do modo FIPS não eram

     devidamente montado em recipientes

   * Corrigido um bug em que as compilações executadas no Varlink travavam

   * Corrigido um bug em que o salvamento do podman falhava quando a imagem alvo era

     especificado por resumo

   * Corrigido um bug em que contêineres sem raiz com portas encaminhadas para eles poderiam

     pânico e dump core devido a um problema de simultaneidade (# 6018)

   * Corrigido um bug em que o Podman sem raiz podia correr ao abrir o sem raiz

     namespace do usuário, resultando na falha de execução dos comandos

   * Corrigido um bug em que as variáveis ​​de ambiente do proxy HTTP encaminhadas para o

     container pelo sinalizador --http-proxy não pôde ser substituído por --env ou

     --env-file

   * Corrigido um bug em que o Podman sem raiz definia os limites de recursos em cgroups

     sistemas v2 que não usavam cgroups gerenciados pelo systemd (e, portanto, não

     limites de recursos de suporte), resultando na falha de inicialização dos contêineres


   Atualize o podman para v1.9.1:


   * Correções de bugs


     - Corrigido um bug em que as verificações de integridade poderiam se tornar não funcionais se o contêiner

       os caminhos de registro foram definidos manualmente com --log-path e vários contêineres

       os logs foram colocados no mesmo diretório

     - Corrigido um bug em que Podman sem raiz podia, ao usar um mais antigo

       libpod.conf, imprime várias mensagens de aviso sobre um CGroup inválido

       configuração do gerente

     - Corrigido um bug em que o Podman sem raiz às vezes falhava ao fechar o

       namespace de usuário sem raiz ao ingressar nele


   Atualize o podman para v1.9.0:


   * Recursos


     - Suporte experimental foi adicionado para execução de podman

       --userns = auto, que aloca automaticamente um UID e GID únicos

        intervalo para o namespace de usuário do novo contêiner

     - O comando podman play kube agora tem um sinalizador --network para colocar o

       pod criado em uma ou mais redes CNI

     - O comando podman commit agora suporta um sinalizador --iidfile para escrever o

       ID da imagem confirmada para um arquivo

     - O suporte inicial para o novo arquivo de configuração containers.conf tem

       foi adicionado. containers.conf permite muito mais detalhes

       configuração de algumas funcionalidades do Podman


   * Alterar


     - Houve uma grande limpeza do comando podman info, resultando em

       quebra de mudanças. Muitos campos foram renomeados para melhor se adequar ao uso

       com APIv2

     - Todos os usos da sinalização --timeout foram trocados para dar preferência ao

       alternativa --time. A sinalização --timeout continuará a funcionar, mas cara

       pages e --help usarão a sinalização --time ao invés


   * Correções de bugs


     - Corrigido um bug em que algumas montagens de volume do host às vezes não

       determinar adequadamente as bandeiras que devem usar ao montar

     - Corrigido um bug em que o Podman não estava propagando $ PATH para Conmon e o

       Tempo de execução OCI, causando problemas para alguns tempos de execução OCI que o exigiam

     - Corrigido um bug em que o Podman sem raiz imprimiria mensagens de erro sobre

       falta de suporte para cgroups systemd quando executado em um contêiner sem

       suporte cgroup

     - Corrigido um bug em que o podman play kube não funcionava corretamente

       mapeamentos de porta apenas de contêiner (# 5610)

     - Corrigido um bug em que o comando podman container prune não estava podando

       contêineres nos estados criado e configurado

     - Corrigido um bug em que o Podman não removia corretamente o endereço IP CNI

       alocações após uma reinicialização (# 5433)

     - Corrigido um bug em que o Podman não estava aplicando corretamente o Seccomp padrão

       perfil quando --security-opt não foi fornecido na linha de comando


   * API HTTP


     - Muitos endpoints da API Libpod foram adicionados, incluindo mudanças,

       Ponto de verificação, inicialização e restauração

     - Resolvidos problemas em que o comando de serviço do sistema podman atingia o tempo limite

       e sair enquanto ainda havia conexões ativas

     - A estabilidade geral melhorou muito à medida que preparamos a API para um

       lançamento beta em breve com Podman 2.0


   * Misc


     - A imagem de infra-estrutura padrão para pods foi atualizada para

       k8s.gcr.io/pause:3.2 (de 3.1) para resolver um bug na arquitetura

       metadados para imagens não AMD64

     - O utilitário de rede slirp4netns no Podman sem raiz agora usa Seccomp

       filtragem onde disponível para maior segurança

     - Atualizado Buildah para v1.14.8

     - Contêineres / armazenamento atualizados para v1.18.2

     - Contêineres / imagem atualizados para v5.4.3

     - Contêineres atualizados / comum para v0.8.1


   - Adicionar BUILDFLAGS "systemd" para construir com suporte para registro de journald

     (bsc # 1162432)


   Atualize o podman para v1.8.2:


   * Recursos


     - Suporte inicial para atualização automática de contêineres gerenciados via

       Os arquivos da unidade Systemd foram mesclados. Isso permite que os contêineres

       atualizar automaticamente se uma versão mais recente de sua imagem se tornar

       acessível


   * Correções de bugs


     - Corrigido um bug em que os arquivos de unidade gerados pelo podman geram systemd

       --new não forçaria os recipientes a se desprender, fazendo com que a unidade demorasse

       fora ao tentar começar

     - Corrigido um bug em que a reinicialização do sistema podman poderia excluir sistemas importantes

       diretórios se executados sem raiz em instalações criadas por

       Podman (# 4831)

     - Corrigido um bug em que a imagem criada pelo podman build não configurava corretamente

       o sistema operacional e a arquitetura com os quais foram construídos (# 5503)

     - Corrigido um bug onde o podman anexado rodava com --sig-proxy habilitado (o

       padrão), quando construído com Go 1.14, enviaria repetidamente o sinal 23 para

       o processo no contêiner e pode gerar erros quando o

       contêiner parado (# 5483)

     - Corrigido um bug em que os comandos de execução do podman sem raiz podiam travar quando

       portas de encaminhamento

     - Corrigido um bug em que o Podman sem raiz não funcionava quando / proc era

       montado com a opção hidepid definida

     - Corrigido um bug em que o comando de serviço do sistema podman usaria grande

       quantidades de CPU quando --timeout foi definido como 0 (# 5531)


   * API HTTP


     - Suporte inicial para endpoints Libpod relacionados à criação e

       operando em listas de manifesto de imagem foi adicionado

     - Os endpoints da API Libpod Healthcheck e Events agora são suportados

     - O ponto de extremidade Swagger agora pode lidar com casos em que não há Swagger

       documentação foi gerada


   Atualize o podman para v1.8.1:


   * Recursos


     - Muitos sinalizadores relacionados à rede foram adicionados ao podman pod create para

       permitir a personalização de redes de pod, incluindo

       --add-host, --dns, --dns-opt, --dns-search, --ip,

       --mac-address, --network e --no-hosts

     - O comando podman ps --format = json agora inclui o ID da imagem

       recipientes foram criados com

     - Os comandos podman run e podman create agora apresentam um

       --rmi sinalizador para remover a imagem que o contêiner estava usando depois de sair

        (se nenhum outro contêiner estiver usando a referida imagem)

        ([# 4628] (https://github.com/containers/libpod/issues/4628))

     - Os comandos podman create e podman run agora oferecem suporte ao

       --device-cgroup-rule flag (# 4876)

     - Embora a API HTTP permaneça em alfa, muitas correções e adições

       desembarcou. Eles estão documentados em uma subseção separada abaixo

     - Os comandos podman create e podman run agora apresentam um

       Sinalizador --no-healthcheck para desativar as verificações de integridade de um contêiner (# 5299)

     - Os contêineres agora reconhecem o rótulo io.containers.capabilities, que

       especifica uma lista de recursos exigidos pela imagem para ser executada. Estes

       recursos serão usados, desde que sejam mais restritivos do que

       os recursos padrão usados

     - YAML produzido pelo comando podman generate kube agora inclui SELinux

       configuração passada para o contêiner via

       --security-opt label = ... (# 4950)


   * Correções de bugs


     - CVE-2020-1726 corrigido, um problema de segurança em que os volumes preenchidos manualmente

       antes de ser montado em um contêiner poderia ter esse conteúdo

       sobrescrito ao ser montado pela primeira vez em um contêiner

     - Corrigido um bug em que contêineres de Podman com namespaces de usuário no CNI

       redes com o plugin DNS habilitado não teriam o plugin DNS

       nameserver adicionado ao resolv.conf

       ([# 5256] (https://github.com/containers/libpod/issues/5256))

     - Corrigido um bug em que o rastreamento / caracteres nas definições de volume de imagem

       pode fazer com que eles não sejam substituídos por uma montagem especificada pelo usuário no

       mesmo local

       ([# 5219] (https://github.com/containers/libpod/issues/5219))

     - Corrigido um bug onde a opção de rótulo em libpod.conf, usada para desabilitar

       SELinux por padrão, não estava sendo respeitado (# 5087)

     - Corrigido um bug em que os comandos podman login e podman logout eram necessários

       o registro para entrar deve ser especificado (# 5146)

     - Corrigido um bug em que contêineres Podman sem raiz desconectados não podiam

       portas de encaminhamento (# 5167)

     - Corrigido um bug em que o Podman sem raiz poderia falhar ao executar se a pausa

       processo morreu

     - Correção de um bug em que o Podman ignorava rótulos especificados com apenas

       uma chave e nenhum valor (# 3854)

     - Corrigido um bug em que o Podman falhava em criar volumes nomeados quando o

       o sistema de arquivos de apoio não suportava rotulagem SELinux (# 5200)

     - Corrigido um bug onde --detach-keys = "" não desabilitava a desconexão de um

       recipiente (# 5166)

     - Corrigido um bug em que o comando podman ps era muito agressivo quando

       filtrar contêineres e forçaria --all on em muitas situações

     - Corrigido um bug em que o comando podman play kube estava ignorando a imagem

       configuração, incluindo volumes, diretório de trabalho, rótulos e parada

       sinal (# 5174)

     - Corrigido um bug onde os campos Created e CreatedTime em imagens de podman

       --format = json foram nomeados incorretamente, o que também quebrou a saída do modelo Go para

       aqueles campos

       ([# 5110] (https://github.com/containers/libpod/issues/5110))

     - Corrigido um bug em que contêineres Podman sem raiz com portas encaminhadas

       pode travar quando iniciado (# 5182)

     - Corrigido um bug em que podman pull poderia falhar ao analisar nomes de registro

       incluindo números de porta

     - Corrigido um bug em que o Podman tentava validar a imagem incorretamente

       SO e arquitetura ao iniciar contêineres

     - Corrigido um bug em que a conclusão do Bash para podman build -f não listava

       arquivos disponíveis que podem ser construídos (# 3878)

     - Corrigido um bug em que podman commit --change funcionava incorretamente

       validação, resultando na rejeição de alterações válidas (# 5148)

     - Corrigido um bug em que os logs de podman --tail podiam ocupar grandes quantidades

       de memória quando o arquivo de log de um contêiner era grande (# 5131)

     - Corrigido um bug em que o Podman às vezes gerava firewall incorretamente

       regras em sistemas que usam firewalld

     - Corrigido um bug em que o comando podman inspect não exibia a rede

       informações para contêineres de forma adequada se um contêiner juntou vários CNI

       redes ([# 4907] (https://github.com/containers/libpod/issues/4907))

     - Corrigido um bug em que a sinalização --uts para criar e executar o podman poderia

       permitir apenas a especificação de contêineres por ID completo (# 5289)

     - Corrigido um bug em que o Podman sem raiz podia falhar em segfault quando passava por um grande

       número de descritores de arquivo

     - Corrigido um bug em que o comando podman port estava interpretando incorretamente

       argumentos adicionais como nomes de contêineres, em vez

       de números de porta

     - Corrigido um bug em que as unidades criadas pelo podman geram o systemd não

       dependem dos alvos da rede e, portanto, podem começar antes do sistema

       a rede estava pronta (# 4130)

     - Corrigido um bug em que as sessões de exec em contêineres que não especificavam um

       o usuário não herdaria grupos suplementares adicionados ao contêiner via

       --group-add

     - Corrigido um bug em que o Podman não respeitava o ambiente $ TMPDIR

       variável para colocar grandes arquivos temporários durante algumas operações

       (por exemplo, podman pull)

       ([# 5411] (https://github.com/containers/libpod/issues/5411))


   * API HTTP


     - Suporte inicial para conexões seguras a servidores via túnel SSH

       foi adicionado

     - Suporte inicial para libpod create e logs de endpoints para

       recipientes foram adicionados

     - Adicionado um / swagger / endpoint para servir a documentação da API

     - O endpoint json para contêineres recebeu muitas correções

     - A filtragem de imagens e contêineres foi bastante aprimorada, com muitos

       bugs corrigidos e documentação melhorada

     - Endpoints de criação de imagem (commit, pull, etc) viram muitas correções

     - O tempo limite do servidor foi corrigido para que as operações longas não sejam mais

       acionar o tempo limite e desligar o servidor

     - O endpoint de estatísticas para contêineres passou por grandes correções e agora

       fornece saída precisa

     - O tratamento do código de status HTTP 304 foi corrigido para todos os endpoints

     - Muitas correções foram feitas na documentação da API para garantir que corresponda

       o código


   * Misc


     - O campo Criado para imagens de podman --format = json foi renomeado para

       CreatedSince como parte da correção para (# 5110). Modelos Go usando o

       o nome antigo ainda deve funcionar

     - O campo CreatedTime para imagens de podman --format = json foi renomeado

       para CreatedAt como parte da correção para (# 5110). Modelos Go usando o

       nome antigo ainda deve funcionar

     - O filtro anterior para imagens de podman foi renomeado para desde

       Compatibilidade do Docker. Usar antes ainda funcionará, mas a documentação

       foi alterado para usar o novo filtro desde

     - Usar a sinalização --password para fazer login no podman agora avisa que as senhas são

       sendo passado em texto simples

     - Alguns casos comuns em que Podman travaria foram corrigidos para avisar

       o usuário que o sistema podman renumerará deve ser executado para resolver o

       impasse


   - Configure br_netfilter para podman automaticamente (bsc # 1165738) O

     gatilho só é executado ao atualizar podman-cni-config enquanto o

     o comando estava em execução


   conmon foi atualizado para v2.0.20 (bsc # 1175821)


   - journald: corrige o nome do contêiner de registro

   - registro de contêiner: Implemente nenhum driver - "off", "null" ou "none" todos

     trabalhos.

   - ctrl: avisa se não conseguirmos desvincular

   - Abandone chamadas fsync

   - Colete PIDs antes de executar o comando de saída

   - Corrigir a análise do caminho do log

   - Adicionar opção --sync para evitar que conmon bifurcação dupla

   - Adicionar a opção --no-sync-log para instruir o Conmon a não sincronizar os logs do

     contentores ao encerrar. Este recurso corrige uma regressão onde nós

     descartou incondicionalmente a sincronização do log. É possível que os logs do contêiner

     pode ser corrompido em um desligamento repentino. Se você precisar de logs de contêiner para

     permanecer em estado consistente após um desligamento repentino, atualize de

     v2.0.19 a v2.0.20


   - Atualização para v2.0.17:


     - Adicionar opção para atrasar a execução do comando de saída


   - Atualização para v2.0.16:


     - tty: liberar dados pendentes quando fd estiver pronto


   - Ativar suporte para registro de journald (bsc # 1162432)

   - Atualização para v2.0.15:


     - status da loja enquanto espera por pid


   - Atualização para v2.0.14:


     - reduzir o uso de emenda (2)

     - evite ficar pendurado em stdin

     - stdio: às vezes sai do loop principal depois que o io é concluído

     - ignorar sigpipe


   - Atualize para v2.0.12


     - oom: conserta possível corrida entre as etapas de verificação


   - Atualização para v2.0.11


     - log: rejeitar --log-tag com arquivo k8s

     - canais de arquivos std chmod

     - ajuste a pontuação para -1000 para evitar que o conmon seja morto por OOM

     - container OOM: verifique se o cgroup não foi limpo antes de relatar

       OOM

     - registro de diário: escreva em / dev / null em vez de -1


   fuse-overlayfs foi atualizado para 1.1.2 (bsc # 1175821):


   - conserta vazamento de memória ao criar arquivos de whiteout.

   - corrige a pesquisa para uid de estouro quando é diferente do gid de estouro.

   - use openat2 (2) quando disponível.

   - aceite "ro" como opção de montagem.

   - fix set mtime para um symlink.

   - corrigir alguns problemas relatados pela análise estática.

   - corrige o loop infinito potencial em uma leitura curta.

   - corrigir a criação de um diretório se o destino já existir na parte superior

     camada.

   - relatar corretamente o número de links para um diretório também para os subsequentes

     chamadas estatísticas

   - pare de procurar o ino nas camadas inferiores se o arquivo não puder ser

     aberto

   - certifique-se de que o destino seja excluído antes de renomear (2). isto

     evita que uma sobra de diretório faça com que a exclusão falhe com EEXIST.

   - honra --debug.


   libcontainers-common foi atualizado para corrigir:


   - Correções para% _libexecdir mudando para / usr / libexec (bsc # 1174075)

   - Adicionados containers / tarball comum para a página de manual containers.conf (5)

   - Instale a configuração padrão containers.conf em / usr / share / containers

   - o repositório libpod no github foi renomeado para podman

   - Atualize para a imagem 5.5.1

     - Adicionar documentação para credHelpera

     - Adicionar padrões para usar o caminho da política sem raiz

   - Atualize libpod / podman para 2.0.3

     - docs: o namespace do usuário não pode ser compartilhado em pods

     - Mude as referências de libpod.conf para containers.conf

     - Permitir porta de host vazia no sinalizador --publish

     - atualize o login do documento, veja config.json como válido

   - Atualize o armazenamento para 1.20.2

     - Adicionar skip_mount_home


   - Remova a diferença restante entre o SLE e o pacote openSUSE e envie

     a configuração padrão de some mounts.conf em ambas as plataformas. Enquanto o

     fontes para o ponto de montagem não existem no openSUSE por padrão este

     a configuração basicamente não terá efeito no openSUSE. (jsc # SLE-12122,

     bsc # 1175821)


   - Atualize para a imagem 5.4.4

     - Remova as referências de registries.conf VERSION 2 da página de manual

     - Página inicial do arquivo de autenticação

     - Adicione $ HOME / .config / containers / certs.d a perHostCertDirPath

     - Adicione $ HOME / .config / containers / registries.conf ao caminho de configuração

     - registries.conf.d: adicione posições para o registries.conf

   - atualização para libpod 1.9.3

     - userns: suporte --userns = auto

     - Mude para o uso de --time em vez de --timeout para corresponder melhor ao Docker

     - Adicionar suporte para especificar redes CNI no podman play kube

     - páginas man: consertar inconsistências

   - Atualização para armazenamento 1.19.1

     - userns: adiciona suporte para auto

     - armazenar: altera o usuário padrão para contêineres

     - config: honor XDG_CONFIG_HOME

   - Remova a solução alternativa /var/lib/ca-certificates/pem/SUSE.pem novamente. isto

     nunca acabou no SLES e uma maneira diferente de corrigir o problema subjacente

     está sendo trabalhado.


   - Adicionar registry.opensuse.org como registro padrão [bsc # 1171578]


   - Adicione /var/lib/ca-certificates/pem/SUSE.pem às montagens SLES. Isto para

     fazer com que o contêiner-suseconnect funcione na nuvem pública sob demanda

     imagens. Ele precisa desse arquivo para poder verificar o servidor

     certificados dos servidores RMT hospedados na nuvem pública.

     (https://github.com/SUSE/container-suseconnect/issues/41)




   Esta atualização foi importada do SUSE: SLE-15-SP1: Projeto de atualização de atualização.



Instruções do patch:


   Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE

   como YaST online_update ou "patch zypper".


   Como alternativa, você pode executar o comando listado para o seu produto:


   - openSUSE Leap 15.2:


      zypper em patch -t openSUSE-2020-1559 = 1




Lista de Pacotes:


   - openSUSE Leap 15.2 (noarch):


      libcontainers-common-20200727-lp152.2.3.1

      podman-cni-config-2.0.6-lp152.4.3.1


   - openSUSE Leap 15.2 (x86_64):


      conmon-2.0.20-lp152.4.3.1

      conmon-debuginfo-2.0.20-lp152.4.3.1

      fuse-overlayfs-1.1.2-lp152.2.3.1

      fuse-overlayfs-debuginfo-1.1.2-lp152.2.3.1

      fuse-overlayfs-debugsource-1.1.2-lp152.2.3.1

      podman-2.0.6-lp152.4.3.1



Referências:


   https://www.suse.com/security/cve/CVE-2020-1726.html

   https://bugzilla.suse.com/1162432

   https://bugzilla.suse.com/1164090

   https://bugzilla.suse.com/1165738

   https://bugzilla.suse.com/1171578

   https://bugzilla.suse.com/1174075

   https://bugzilla.suse.com/1175821

   https://bugzilla.suse.com/1175957


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário