Confira !!
Uma atualização que corrige duas vulnerabilidades já está disponível.
Atualização de segurança do openSUSE: atualização de segurança para buildah, libcontainers-common, podman
______________________________________________________________________________
ID do anúncio: openSUSE-SU-2021: 0310-1
Avaliação: moderada
Referências: # 1144065 # 1165184
Referências cruzadas: CVE-2019-10214 CVE-2020-10696
Pontuações CVSS:
CVE-2019-10214 (NVD): 5,9 CVSS: 3.1 / AV: N / AC: H / PR: N / UI: N / S: U / C: H / I: N / A: N
CVE-2019-10214 (SUSE): 9 CVSS: 3.0 / AV: N / AC: H / PR: N / UI: N / S: C / C: H / I: H / A: H
CVE-2020-10696 (NVD): 8,8 CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
CVE-2020-10696 (SUSE): 8,8 CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H
Produtos afetados:
openSUSE Leap 15.2
______________________________________________________________________________
Uma atualização que corrige duas vulnerabilidades já está disponível.
Descrição:
Esta atualização para buildah, libcontainers-common, podman corrige o seguinte
questões:
Mudanças em libcontainers-common:
- Atualização comum para 0.33.0
- Atualizar imagem para 5.9.0
- Atualizar podman para 2.2.1
- Atualize o armazenamento para 1.24.5
- Mude para o perfil seccomp fornecido por comum em vez de podman
- Atualize containers.conf para corresponder à versão mais recente
Mudanças no buildah:
Atualize para a versão 1.19.2:
* Atualizar fornecedor de containers / storage e containers / common
* Buildah inspect deve ser capaz de inspecionar manifestos
* Faça buildah push suporte empurrando listas de manifestos e resumos
* Correção do manuseio da variável de ambiente TMPDIR
* Adicionar suporte para - sinalizadores de manifesto
* O diretório superior deve corresponder ao modo do diretório de destino
* Apenas pegue o SO, Arch se o usuário realmente os especificou
* Use as opções --arch e --os e --variant para selecionar arquitetura e sistema operacional
* Cirrus: Acompanhe a versão libseccomp e golang
* copier.PutOptions: adicione um sinalizador "IgnoreDevices"
* fix: `rmi --prune` quando a imagem pai está armazenada.
* build (deps): bump github.com/containers/storage de 1.24.3 a 1.24.4
* build (deps): bump github.com/containers/common de 0.31.1 a 0.31.2
* Permitir que os usuários especifiquem stdin em contêineres
* Solte a mensagem de registro em caso de falha na montagem dos sistemas de arquivos / sys nas informações
* Ortografia
* SELinux não requer mais uma tag.
* build (dep): bump github.com/opencontainers/selinux de 1.6.0 a 1.8.0
* build (deps): bump github.com/containers/common de 0.31.0 a 0.31.1
* Atualizar nix pin com `make nixpkgs`
* Alternar referências de / var / run -> / run
* Permitir que FROM seja substituído pela opção from
* copiadora: não assuma que podemos fazer o chroot () em sistemas Unixy
* copiadora: adicione PutOptions.NoOverwriteDirNonDir, Get / PutOptions.Rename
* copiadora: trata da substituição de diretórios por não diretórios
* copiadora: Colocar: pula entradas com nomes de comprimento zero
* build (deps): bump github.com/containers/storage de 1.24.2 a 1.24.3
* Adicionar sinalizador de volume U aos volumes de origem do chown
* Desligue o teste PRIOR_UBUNTU até que vm seja atualizado
* pkg, cli: rootless usa isolamento correto
* build (dep): bump github.com/onsi/gomega de 1.10.3 a 1.10.4
* atualizar o documento de instalação para refletir o status atual
* Afaste-se do docker.io
* ativar apelidos de nomes curtos
* build (dep): bump github.com/containers/storage de 1.24.1 a 1.24.2
* build (dep): bump github.com/containers/common de 0.30.0 a 0.31.0
* Lance erros ao usar sinalizadores --network falsos
* teste de pacote / suplementado: substitua nosso blobinfocache nulo
* build (dep): bump github.com/containers/common de 0.29.0 a 0.30.0
* insere aspas esquecidas
* Não prefiro usar imagem local criar / adicionar manifesto
* Adicione informações do contêiner a .containerenv
* Adicionar sinalizador --ignorefile para usar sinalizadores .dockerignore alternativos
* Adicione uma versão de depuração de origem
* Corrigir falha em comandos de filtro inválidos
* build (dep): bump github.com/containers/common de 0.27.0 a 0.29.0
* Mude para o uso de contêineres / pacotes comuns
* correção: shebang não portátil # 2812
* Remova erros de copiar / colar que vazaram `Podman` nas páginas de manual.
* Adicionar sugestão de cpp ao arquivo de especificação
* Aplicar sugestões de revisão de código
* atualização de documentos para teste debian e instável
* imagebuildah: desative os pseudo-terminais para RUN
* Compute diffID para camada mapeada na criação de fonte de imagem
* intermediárioImageExists: ignora imagens cujo histórico não podemos ler
* Bump to v1.19.0-dev
* build (dep): bump github.com/containers/common de 0.26.3 a 0.27.0
* Corrigir erro de teste causado por mesclagem simultânea
* Fornecedor em contêineres / armazenamento v1.24.0
* alias de nomes curtos
* Adicionar sinalizador --policy para buildah pull
* Pare de embrulhar demais e gaguejar
* copier.Get (): ignore ENOTSUP / ENOSYS ao listar xattrs
* Executar: não desative forçosamente os namespaces UTS no modo sem raiz
* teste: certifique-se de que o não diretório em um caminho do Dockerfile seja tratado corretamente
* Adicione alguns testes para o comando `pull`
* Corrigir buildah config --cmd para lidar com array
* build (deps): bump github.com/containers/storage de 1.23.8 a 1.23.9
* Corrigir NPE quando o caminho do Dockerfile contém entradas não pertencentes ao diretório
* Atualize a página de manual do buildah bud a partir da página de manual de construção do podman
* Mova a declaração de chaves de descriptografia para cli comum
* Executar: chame copier.Mkdir corretamente
* util: extrair UID / GID de os.FileInfo deve funcionar no Unix
* imagebuildah.getImageTypeAndHistoryAndDiffIDs: resultados de cache
* Verifique a entrada userns-uid-map e userns-gid-map
* Use CPP, CC e sinalizadores em scripts de verificação de depósito
* Evite substituir LDFLAGS no Makefile
* ADICIONAR: lidar com --chown em URLs
* Atualizar nix pin com `make nixpkgs`
* (* Builder) .Run: MkdirAll: trata o erro EEXIST
* copiadora: tente forçar o carregamento dos módulos nsswitch antes de chroot ()
* corrigir o uso de MkdirAll
* build (deps): bump github.com/containers/common de 0.26.2 a 0.26.3
* build (deps): bump github.com/containers/storage de 1.23.7 a 1.23.8
* Use a tag de construção osusergo para construção estática
* imagebuildah: o cache deve levar em consideração o formato da imagem
* Bump para v1.18.0-dev
Atualize para a versão 1.17.1:
* copier.Get (): ignore ENOTSUP / ENOSYS ao listar xattrs
* copiadora: tente forçar o carregamento dos módulos nsswitch antes de chroot ()
* ADICIONAR: lidar com --chown em URLs
* imagebuildah: o cache deve levar em consideração o formato da imagem
* Atualizar configuração de CI para o branch release-1.17
cni adicionado ao requer conforme necessário para que o buildah funcione
Atualizar para v1.17.0 (boo # 1165184)
* Lidar com casos onde outras ferramentas montam / desmontam recipientes
* overlay.MountReadOnly: suporta montagens de sobreposição RO
* overlay: use fusermount para montagens sem raiz
* overlay: fix umount
* Mude o nível de registro padrão de Buildah para Avisar. Os usuários precisam ver estes
mensagens
* Solte as mensagens de erro sobre o formato OCI / Docker para o nível de Aviso
* build (dep): bump github.com/containers/common de 0.26.0 a 0.26.2
* tests / testreport: ajustar para quebra de API no armazenamento v1.23.6
* build (deps): bump github.com/containers/storage de 1.23.5 a 1.23.7
* build (dep): bump github.com/fsouza/go-dockerclient de 1.6.5 a 1.6.6
* copiadora: put: ignore Typeflag = "g"
* Use curl para obter o arquivo repo (correção # 2714)
* build (dep): bump github.com/containers/common de 0.25.0 a 0.26.0
* build (dep): bump github.com/spf13/cobra de 1.0.0 a 1.1.1
* Remova os documentos que se referem a bors, já que não estamos usando
* Buildah bud não deve usar stdin por padrão
* bump containerd, docker e golang.org/x/sys
* Makefile: cross: remove windows.386 target
* copier.copierHandlerPut: não verifique o comprimento quando houver erros
* Pare de embrulhar excessivamente
* CI: exige que os testes de conformidade sejam aprovados
* bump (github.com/openshift/imagebuilder) para v1.1.8
* Ignorar tlsVerify inseguro BUILD_REGISTRY_SOURCES
* Corrigir contêineres incorretos de caminho de construção / podman # 7993
* refatorar pullpolicy para evitar dependências
* build (dep): bump github.com/containers/common de 0.24.0 a 0.25.0
* CI: execute tarefas de gating com muito mais memória
* ADICIONE e COPIE: desça para diretórios excluídos, às vezes
* copiadora: adicione mais contexto a algumas mensagens de erro
* copiadora: verifique um erro antes
* copiadora: registra a saída stderr como depuração em caso de sucesso
* Atualizar nix pin com make nixpkgs
* Defina a propriedade do diretório quando copiado com o mapeamento de ID
* build (dep): bump github.com/sirupsen/logrus de 1.6.0 a 1.7.0
* build (dep): bump github.com/containers/common de 0.23.0 a 0.24.0
* Cirrus: remover artefatos bors
* Classifique as definições das bandeiras de construção em ordem alfabética
* ADICIONE: apenas expanda os arquivos no momento certo
* Remova a configuração para bors
* Conclusão Shell para sinalizadores de construção de podman
* Bump c / comum a v0.24.0
* Nova verificação de CI: xref --help vs man pages
* CI: reativar vários linters
* Mova a descrição --userns-uid-map / - userns-gid-map para a página de manual do buildah
* adicionar: preservar as propriedades e permissões dos arquivos ADICIONADOS
* Makefile: ajuste o alvo de compilação cruzada
* Bump containers / comum para v0.23.0
* chroot: crie destinos de montagem de ligação 0755 em vez de 0700
* Mude a chamada para Split () para SplitN mais seguro ()
* chroot: corrige o tratamento das regras errno seccomp
* build (dep): bump github.com/containers/image/v5 de 5.5.2 a 5.6.0
* Adicionar seção em andamento para contribuir
* testes de integração: certifique-se de que os testes sejam executados em $ {topdir} / tests
* Run (): ignore a configuração do ambiente do containers.conf
* Avisar ao definir a verificação de integridade no formato OCI
* Cirrus: pular git-validate em branches
* tools: atualize git-validation para o último commit
* ferramentas: atualizar golangci-lint para v1.18.0
* Adicione alguns testes de comando push
* Add (): corrige o tratamento de caminhos relativos sem ContextDir
* build (dep): bump github.com/containers/common de 0.21.0 a 0.22.0
* Lint: Use os mesmos linters que o podman
* Validar: referência HEAD
* Correção de montagem buildah para exibir nomes de contêineres, não ids
* Atualizar nix pin com make nixpkgs
* Adicione a opção --format ausente no buildah da página de manual
* Corrija o código baseado em codespell
* build (deps): bump github.com/openshift/imagebuilder de 1.1.6 a 1.1.7
* build (dep): bump github.com/containers/storage de 1.23.4 a 1.23.5
* Melhorar as conclusões de buildah
* Cirrus: Corrigir período de confirmação de validação
* Corrigir a conclusão bash de sinalizadores de manifesto
* Uniforme algumas páginas de manual
* Atualize o tutorial Buildah para o endereço BZ1867426
* Atualizar a conclusão do bash do subcomando de adição de manifesto
* copier.Get (): destinos de link físico não devem ser caminhos relativos
* build (dep): bump github.com/onsi/gomega de 1.10.1 a 1.10.2
* Passe o carimbo de data / hora para as linhas do histórico
* Timestamp é atualizado toda vez que você inspeciona uma imagem
* bud.bats: use caminhos absolutos em testes recém-adicionados
* contrib / cirrus / lib.sh: não use CN para o nome do host
* testes: Adicione alguns testes
* Atualizar a página de manual do manifesto
* Estender sinalizadores de adição de manifesto
* build (deps): bump github.com/containers/storage de 1.23.3 a 1.23.4
* build (dep): bump github.com/onsi/ginkgo de 1.14.0 a 1.14.1
* Bump to v1.17.0-dev
* CI: expandir verificações de compilação cruzada
- SLE: Remover patch desnecessário: CVE-2019-10214.patch
Atualizar para v1.16.2
* correção de construção em arcos de 32 bits
* containerImageRef.NewImageSource (): nem sempre força carimbos de data / hora
* Adicionar aviso de módulo de fusível ao leia-me da imagem
* Preste atenção aos nossos valores de opção de atraso de repetição ao tentar novamente commit / pull / push
* Mudar para contêineres / comum para seccomp
* Use --timestamp em vez de --omit-timestamp
* docs: remover aviso desatualizado
* docs: remover aviso desatualizado
* build-using-dockerfile: adiciona um sinalizador --log-rusage oculto
* build (dep): bump github.com/containers/image/v5 de 5.5.1 a 5.5.2
* Descartar ReportWriter se o usuário definir as opções.
* build (deps): bump github.com/containers/common de 0,19,0 a 0,20,3
* Corrija a propriedade do conteúdo copiado usando COPY - de
* newTarDigester: zera os carimbos de data / hora nos cabeçalhos do alcatrão
* Atualizar nix pin com `make nixpkgs`
* bud.bats: testes de integração corretos .dockerignore
* Use tubos para copiar
* run: inclui stdout na mensagem de erro
* run: use o erro correto para errors.Wrapf
* copiadora: desexportar tipos internos
* copiadora: adicione Mkdir ()
* in_podman: não se deixe enganar por $ CIRRUS_CHANGE_TITLE
* docs / buildah-commit.md: ajuste algumas palavras, adicione um exemplo --rm
* imagebuildah: não esvazie os nomes dos destinos ao COPIAR
* Substitua as funções de nova tentativa por common / pkg / retry
* StageExecutor.historyMatches: compare os carimbos de data / hora usando .Equal
* Atualizar fornecedor de contêineres / comum
* Corrigir erros encontrados na varredura coverity
* Alterar sinalizadores de manipulação de namespace para melhor corresponder aos comandos do podman
* teste de conformidade: ignore buildah.BuilderIdentityAnnotation rótulos
* Fornecedor em contêineres / armazenamento v1.23.0
* Adicionar interface buildah.IsContainer
* Evite alimentar run_buildah no cano
* fix (buildahimage): adiciona dependência xz na imagem buildah
* Bump github.com/containers/common de 0.15.2 para 0.18.0
* Howto para construção de imagem sem raiz a partir do OpenShift
* Adicionar sinalizador --omit-timestamp ao buildah bud
* Atualizar nix pin com `make nixpkgs`
* Desligue o armazenamento em caso de falhas
* Manipular COPY - a partir de quando um argumento é usado
* Bump github.com/seccomp/containers-golang de 0,5.0 a 0,6.0
* Cirrus: Use imagens de VM recém-construídas
* Bump github.com/opencontainers/runc de 1.0.0-rc91 para 1.0.0-rc92
* Aprimore as páginas do manual .dockerignore
* conformidade: adicione um teste para COPY do subdiretório
* corrigir bug manifesto inspct
* Adicione documentação para .dockerignore
* Adicione BuilderIdentityAnnotation para identificar a versão de buildah
* DOC: Adicionar imagem quay.io/containers/buildah ao README.md
* Atualizar o readme buildahimages
* corrigir erro de grafia na exibição do resultado do comando "info"
* Não vincule / etc / host e /etc/resolv.conf se a rede não estiver presente
* blobcache: evite um NewImage () desnecessário
* Construa binário estático com `buildGoModule`
* copiadora: divida StripSetidBits em
StripSetuidBit / StripSetgidBit / StripStickyBit
* tarFilterer: lidar com vários arquivos
* Consertar uma corrida que atingimos durante os testes de conformidade
* Teste de conformidade de retrabalho
* Atualizar 02-registries-repositories.md
* test-unit: invoca os testes cmd / buildah com --flags
* parse: corrige uma incompatibilidade de tipo em um teste
* Corrigir compilação de testes / relatório de teste / relatório de teste
* build.sh: registre a versão do Go que estamos usando
* unidade de teste: aumente o tempo limite de teste para 40/45 minutos
* Adicione o pacote "copiadora"
* Corrija e adicione notas sobre linguagem problemática na base de código
* Adicione dependência em github.com/stretchr/testify/require
* CompositeDigester: adicione a capacidade de filtrar fluxos de alcatrão
* Testes BATS: torne mais robusto
* vendor golang.org/x/ text@v0.3.3
* Mude golang 1.12 para golang 1.13
* imagebuildah: aguarde fases que podem nem ter começado ainda
* chroot, run: not fail on bind mounts de / sys
* chroot: não use setgroups se estiver bloqueado
* Defina o ambiente do mecanismo em containers.conf
* imagebuildah: retorna a imagem do palco certo como a imagem "final"
* Consertar uma string de ajuda
* Desduplicar variáveis de ambiente
* mudar containers / libpod para containers / podman
* Bump github.com/containers/ocicrypt de 1.0.2 para 1.0.3
* Bump github.com/opencontainers/selinux de 1.5.2 para 1.6.0
* Mascare / sys / dev para evitar vazamento de informações
* linux: ignora erros da eliminação do tempo de execução
* Máscara sobre o / sys / fs / selinux na ramificação da máscara
* Adicionar armazenamento de imagem adicional VFS ao contêiner
* testes: adicionar testes de autenticação
* Permita "somente leitura" como alias para "ro" nas opções de montagem
* Ignorar a opção de montagem de consistência específica do OS X
* Bump github.com/onsi/ginkgo de 1.13.0 para 1.14.0
* Bump github.com/containers/common de 0.14.0 para 0.15.2
* Buildah Rootless deve ser padronizado como IsolationOCIRootless
* imagebuildah: conserta compilações de vários estágios herdadas
* Torne imagebuildah.BuildOptions.Architecture / OS opcional
* Torne imagebuildah.BuildOptions.Jobs opcional
* Resolva uma possível corrida em imagebuildah.Executor.startStage ()
* Alterne os scripts para usar containers.conf
* Bump openshift / imagebuilder para v1.1.6
* Bump go.etcd.io/bbolt de 1.3.4 para 1.3.5
* buildah, bud: support --jobs = N para execução paralela
* executor: refatorar o código de compilação dentro da nova função
* Adicionar testes de regressão de botões
* Cirrus: Corrigir htpasswd ausente no registro img
* docs: esclarecer o formato de 'triplos'
* CHANGELOG.md: Correção da formatação de markdown
* Adicionar derivação nix para construções estáticas
Atualizar para v1.15.1
* Máscara sobre o / sys / fs / selinux na ramificação da máscara
* chroot: não use setgroups se estiver bloqueado
* chroot, run: not fail on bind mounts de / sys
* Permita "somente leitura" como alias para "ro" nas opções de montagem
* Adicionar armazenamento de imagem adicional VFS ao contêiner
* vendor golang.org/x/ text@v0.3.3
* Torne imagebuildah.BuildOptions.Architecture / OS opcional
Atualizar para v1.15.0
* Adicione CVE-2020-10696 a CHANGELOG.md e changelog.txt
* corrigir exemplo lighttpd
* remova a dependência da estrutura openshift
* Avisar sobre argumentos de construção não definidos
* vendor: atualize seccomp / containers-golang para v0.4.1
* Documentos atualizados
* limpar comentários
* atualizar o código de saída para testes
* Implementar confirmação para criptografia
* implementação de criptografar / descriptografar push / pull / bud / from
* corrigir o nome da imagem docker como transporte
* Adicionar suporte de criação de perfil preliminar ao CLI
* Avalie os links simbólicos no diretório de contexto de construção
* corrigir informações de erro sobre obter assinaturas para containerImageSource
* Adicionar Política de Segurança
* Cirrus: correções de comentários de revisão
* imagebuildah: estágios não devem contar como suas imagens de base
* Atualizar contêineres / v0.10.0 comum
* Adicionar registro aos Dockerfiles de buildahimage
* Cirrus: Use pacotes VM pré-instalados + F32
* Cirrus: Reative todas as versões da distro
* Cirrus: Atualize para F31 + Use imagens de cache
* golangci-lint: Desativar gosimple
* Menor número de fios de algodão golangci
* Corrija as permissões em containers.conf
* Não force os testes para usar runc
* Retornar código de saída de contêineres com falha
* cgroup_manager deve estar em [engine]
* Use c / common / pkg / auth em login / logout
* Cirrus: desative temporariamente o teste do Ubuntu 19
* Adicione containers.conf ao build stablebyhand
* Atualize o gitignore para excluir os Dockerfiles de teste
* Remova o aviso para o systemd dentro do contêiner
- Adicionar patch para CVE-2019-10214. boo # 1144065
+ CVE-2019-10214.patch
Mudanças no podman:
Atualizar para v2.2.1
* Alterar
- Devido a um conflito com um campo removido anteriormente, fomos forçados a
modificar a forma como os volumes de imagem (montagem de imagens em contêineres usando
--mount type = image) foram tratados no banco de dados. Como um resultado,
contêineres criados no Podman 2.2.0 com volume de imagem não terão
na v2.2.1 e esses contêineres precisarão ser recriados.
* Correções de bugs
- Corrigido um bug onde o Podman sem raiz faria, em sistemas sem o
Variável de ambiente XDG_RUNTIME_DIR definida, use um caminho incorreto
para o arquivo PID do processo de pausa do Podman, fazendo com que o Podman falhe
para começar (# 8539).
- Corrigido um bug em que os contêineres criados usando Podman v1.7 e anterior
estavam inutilizáveis no Podman devido a erros de decodificação JSON (# 8613).
- Corrigido um bug em que o Podman poderia recuperar caminhos inválidos de cgroup, em vez
de erro, para contêineres que não estavam em execução.
- Corrigido um bug em que o comando de reinicialização do sistema podman imprimia um
aviso sobre um manipulador de desligamento duplicado sendo registrado.
- Corrigido um bug em que o Podman sem raiz tentava montar sysfs em
circunstâncias em que não era permitido; alguns tempos de execução OCI (notavelmente
crun) voltaria para alternativas e não falharia, mas outros
(notavelmente runc) falharia ao executar contêineres.
- Corrigido um bug em que os comandos podman run e podman create falhavam
para criar contêineres de imagens não marcadas (# 8558).
- Corrigido um bug em que o Podman remoto pedia uma senha mesmo quando
o servidor não oferece suporte à autenticação de senha (# 8498).
- Corrigido um bug em que o comando podman exec não movia o Conmon
processo para a sessão exec no cgroup correto.
- Corrigido um bug em que a conclusão do shell para a opção ancestral para podman
ps --filter não funcionou corretamente.
- Corrigido um bug em que os contêineres separados não limpavam adequadamente
se levantem (ou removam-se se --rm estiver definido) se o Podman
o comando que os criou foi invocado com --log-level = debug.
* API
- Corrigido um bug em que o endpoint de criação de compatibilidade para contêineres não
manipular adequadamente os parâmetros Binds e Mounts no HostConfig.
- Corrigido um bug em que o endpoint de criação de compatibilidade para contêineres era ignorado
o parâmetro de consulta Name.
- Corrigido um bug em que o endpoint de criação de compatibilidade para contêineres não
lidar corretamente com o valor "padrão" para NetworkMode (este valor é
usado extensivamente por docker-compose) (# 8544).
- Corrigido um bug em que o endpoint de compilação de compatibilidade para imagens às vezes
usar incorretamente o parâmetro de consulta de destino como a tag da imagem.
* Misc
- Podman v2.2.0 vendeu uma versão personalizada não lançada do
pacote github.com/spf13/cobra; isto foi revertido para o mais recente
liberação a montante para auxiliar no empacotamento.
- Atualização dos contêineres / biblioteca de imagens para v5.9.0
Atualizar para v2.2.0
* Características
- Foi adicionado suporte experimental para apelidos de nomes curtos. Isso não é
ativado por padrão, mas pode ser ativado definindo o ambiente
variável CONTAINERS_SHORT_NAME_ALIASING para on. Documentação é
disponível aqui e aqui.
- O suporte inicial foi adicionado para a conexão de rede podman e
comandos de desconexão de rede podman, que permitem que os contêineres existentes
modificar a quais redes eles estão conectados. No momento, esses comandos
só pode ser usado em contêineres em execução que não especificaram
--network = nenhum quando foram criados.
- O comando podman run agora suporta a opção --network-alias para definir
aliases de rede (nomes adicionais em que o contêiner pode ser acessado
outros contêineres via DNS se o plug-in CNI dnsname estiver em uso). Apelido
também podem ser adicionados e removidos usando a nova conexão de rede podman e
comandos de desconexão de rede podman. Observe que isso requer um
nova versão (v1.1.0) do plugin dnsname, e só funcionará em
redes CNI recém-criadas.
- O comando podman generate kube agora oferece suporte para exportação
limites de memória e CPU do contêiner (# 7855).
- O comando podman play kube agora oferece suporte para configuração de CPU e
Limites de memória para contêineres (# 7742).
- O comando podman play kube agora oferece suporte a reivindicações de volumes persistentes
usando volumes nomeados Podman.
- O comando podman play kube agora oferece suporte a configmaps do Kubernetes por meio do
opção --configmap (# 7567).
- O comando podman play kube agora suporta uma opção --log-driver para definir
o driver de log para containers criados.
- O comando podman play kube agora suporta uma opção --start, habilitada por
padrão, para iniciar o pod após criá-lo. Isso permite que o podman
play kube para ser usado mais facilmente em arquivos de unidade do systemd.
- O comando podman network create agora suporta a opção --ipv6 para
habilite a rede IPv6 de pilha dupla para redes criadas (# 7302).
- O comando podman inspect agora pode inspecionar pods, redes e volumes,
além de contêineres e imagens (# 6757).
- A opção --mount para podman run e podman create agora suporta um novo
tipo, imagem, para montar o conteúdo de uma imagem no contêiner em um
determinado local.
- As conclusões Bash e ZSH foram completamente retrabalhadas e
recebeu melhorias significativas! Além disso, suporte para Fish
conclusões e conclusões para o executável remoto podman foram
adicionado.
- A opção --log-opt para podman create e podman run agora suporta o
opção max-size para definir o tamanho máximo dos logs de um contêiner (# 7434).
- A opção --network do comando podman pod create agora permite pods
a ser configurado para usar a rede slirp4netns, mesmo quando executado como root
(# 6097).
- podman pod stop, podman pod pause, podman pod unpause e podman
comandos pod kill agora funcionam em vários contêineres em paralelo e
deve ser significativamente mais rápido.
- O comando de pesquisa do podman agora suporta uma opção --list-tags para listar todos
tags disponíveis para uma única imagem em um único repositório.
- O comando de pesquisa do podman agora pode gerar JSON usando --format = json
opção.
- Os comandos podman diff e podman mount agora funcionam com todos os contêineres
na biblioteca de armazenamento, incluindo aqueles não criados pelo Podman. Esta
permite que sejam usados com contêineres Buildah e CRI-O.
- O comando podman container exists agora apresenta uma opção --external para
verifique se existe um contêiner não apenas no Podman, mas também no armazenamento
biblioteca. Isso permitirá que o Podman identifique Buildah e CRI-O
recipientes.
- As opções --tls-verify e --authfile foram habilitadas para uso com
Podman remoto.
- O arquivo / etc / hosts agora inclui o nome do contêiner e o nome do host
(ambos apontando para localhost) quando o contêiner é executado com --net = none
(# 8095).
- O comando podman events agora oferece suporte à filtragem de eventos com base no
rótulos do contêiner em que ocorreram usando o --filter
etiqueta = chave = opção de valor.
- O comando podman volume ls agora oferece suporte à filtragem de volumes com base em
seus rótulos usando a opção --filter label = key = value.
- As opções --volume e --mount para executar e criar podman agora
suporta duas novas opções de propagação de montagem, unbindable e runbindable.
- Os filtros de nome e id para podman pod ps agora correspondem com base em um padrão
expressão, em vez de exigir uma correspondência exata.
- O comando podman pod ps agora oferece suporte a um novo status de filtro, que
corresponde a vagens em um determinado estado.
* Alterar
- O comando podman network rm --force agora também removerá pods que
estão usando a rede (# 7791).
- Os comandos podman volume rm, podman network rm e podman pod rm agora
retornar o código de saída 1 se o objeto especificado para remoção não existir,
e sair do código 2 se o objeto estiver em uso e a opção --force não estiver
dado.
- Se / dev / fuse for passado para os contêineres do Podman como um dispositivo, o Podman irá
abra-o antes de iniciar o contêiner para garantir que o módulo do kernel
é carregado no host e o dispositivo pode ser usado no contêiner.
- Opções globais de Podman que não eram compatíveis com operação remota
foram removidos do podman-remote (por exemplo --cgroup-manager,
--storage-driver).
- Muitos erros foram alterados para remover a repetição e ser mais claro como
para o que deu errado.
- A opção --storage para podman rm agora está habilitada por padrão, com
semântica ligeiramente alterada. Se o contêiner fornecido não existir em
Podman, mas existe na biblioteca de armazenamento, será removido mesmo
sem a opção --storage. Se o contêiner existir no Podman,
ser removido normalmente. A opção --storage para podman rm agora é
obsoleto e será removido em uma versão futura.
- A opção --storage para podman ps foi renomeada para --external. A
alias foi adicionado para que a forma antiga da opção continue a
trabalhar.
- Podman agora atrasa os sinais SIGTERM e SIGINT durante o contêiner
criação para garantir que o Podman não seja interrompido no meio da criação de um
container resultando em vazamento potencial de recursos (# 7941).
- O comando podman save agora remove assinaturas de imagens que é
exportação, pois os formatos para os quais exportamos não suportam assinaturas
(# 7659).
- Um novo estado Degradado foi adicionado aos pods. Pods que têm alguns, mas
nem todos, de seus contêineres em execução agora são considerados degradados
em vez de correr.
- O Podman agora imprimirá um aviso quando houver opções de rede conflitantes
relacionados ao encaminhamento de porta (por exemplo, --publish e --net = host) são
especificado ao criar um contêiner.
- As opções --restart em caso de falha e --rm para contêineres não são mais
conflito. Quando ambos são especificados, o contêiner será reiniciado se
sai com um código de erro diferente de zero e é removido se sair de forma limpa
(# 7906).
- O Podman remoto não usará mais as configurações do cliente
containers.conf; os padrões serão fornecidos pelo servidor
containers.conf (# 7657).
- O comando podman network rm agora tem um novo alias, podman network
remover (# 8402).
* Correções de bugs
- Corrigido um bug em que o carregamento do podman no cliente remoto não apresentava erro quando
tentando carregar um diretório, que ainda não é compatível com
usar.
- Corrigido um bug em que o Podman sem raiz podia travar quando o binário newuidmap
não foi instalado (# 7776).
- Corrigido um bug em que a opção --pull para executar podman, criar podman e
A compilação do podman não correspondeu ao comportamento do Docker.
- Corrigido um bug em que as configurações de sysctl do containers.conf
arquivo de configuração foi aplicado, mesmo se o contêiner não se juntou ao
namespace associado a um sysctl.
- Corrigido um bug em que o Podman não retornava o texto dos erros encontrados
ao tentar executar uma verificação de integridade de um contêiner.
- Corrigido um bug em que o Podman estava configurando acidentalmente os contêineres
variável de ambiente, além do ambiente de contêiner esperado
variável.
- Corrigido um bug em que o Podman sem raiz usando rede CNI não funcionava corretamente
limpe as entradas DNS para os contêineres removidos (# 7789).
- Corrigido um bug em que o comando podman untag --all não era compatível com
Podman remoto.
- Corrigido um bug em que o comando de serviço do sistema podman poderia atingir o tempo limite mesmo
se houver conexões de anexação ativas (# 7826).
- Corrigido um bug em que o comando de serviço do sistema podman às vezes
nunca expire, apesar de nenhuma conexão ativa estar presente.
- Corrigido um bug em que o tratamento de recursos do Podman, especificamente
herdável, não corresponde ao de Docker.
- Corrigido um bug em que a execução do podman falhava se a imagem especificada fosse um
lista de manifestos e já havia sido puxado (# 7798).
- Corrigido um bug em que o Podman não levava os registros de pesquisa em consideração
ao procurar imagens localmente (# 6381).
- Corrigido um bug em que o comando de inspeção de manifesto do podman falhava para
imagens que já foram retiradas (# 7726).
- Corrigido um bug em que o Podman sem raiz não adicionava GIDs complementares ao
contêineres quando um usuário, mas não um grupo, foi definido por meio do --user
opção para criar e executar o podman e GIDs suficientes foram
disponível para adicionar os grupos (# 7782).
- Corrigido um bug em que os comandos remotos do Podman não tratavam adequadamente dos casos
onde o usuário forneceu um nome que também poderia ser um ID curto para um pod ou
recipiente (# 7837).
- Corrigido um bug em que podman image podman poderia deixar imagens prontas para serem
podado após a podman image podman ser executada (# 7872).
- Corrigido um bug em que o comando podman logs com o driver journald log
não leria todos os logs disponíveis (# 7476).
- Corrigido um bug onde as opções --rm e --restart para criar podman e
a execução do podman não entrou em conflito quando uma política de reinicialização que não é
em caso de falha foi escolhido (# 7878).
- Corrigido um bug onde a opção --format "table {{.Field}}" para vários
Os comandos do Podman deixaram de funcionar no Podman v2.0 e superior.
- Corrigido um bug em que os pods não compartilhavam corretamente um rótulo SELinux entre
seus contêineres, resultando em contêineres incapazes de ver o
processos de outros contêineres quando o pod compartilhou um namespace PID
(# 7886).
- Corrigido um bug em que a opção --namespace para podman ps não funcionava com
o cliente remoto (# 7903).
- Corrigido um bug em que o Podman sem raiz calculava incorretamente o número de
UIDs disponíveis no contêiner se houver vários intervalos diferentes de UIDs
foram especificados.
- Corrigido um bug em que o arquivo / etc / hosts não era preenchido corretamente
para contêineres em um namespace de usuário (# 7490).
- Corrigido um bug em que a rede podman cria e a rede podman remove
os comandos podem correr quando executados em paralelo, com resultados imprevisíveis
(# 7807).
- Corrigido um bug em que a opção -p para executar podman, criar podman e
podman pod create seria, quando dado apenas um único número (por exemplo, -p 80),
atribuir a mesma porta para host e contêiner, em vez de gerar
uma porta de host aleatória (# 7947).
- Corrigido um bug em que os contêineres do Podman não armazenavam corretamente o cgroup
gerente com o qual foram criados, fazendo com que parem de funcionar após
o gerenciador do cgroup foi alterado em containers.conf ou com o
opção --cgroup-manager (# 7830).
- Corrigido um bug em que o comando podman inspect não incluía
informações sobre as redes CNI às quais um contêiner estava conectado, se fosse
não está funcionando.
- Corrigido um bug em que o comando podman attach não imprimia uma nova linha
após a separação do recipiente (# 7751).
- Corrigido um bug em que a variável de ambiente HOME não estava configurada corretamente no
recipientes quando a opção --userns = keep-id foi definida (# 8004).
- Corrigido um bug em que o comando podman container restore podia entrar em pânico quando
o contêiner em questão estava em um pod (# 8026).
- Corrigido um bug em que a saída da imagem de confiança do podman mostra --raw
comando não foi formatado corretamente.
- Corrigido um bug em que o comando podman runlabel poderia entrar em pânico se um rótulo para
run não foi fornecido (# 8038).
- Corrigido um bug em que o podman executa e os comandos podman start --attach
sairia com um erro quando o usuário se desconectasse manualmente usando o
desconecte as chaves no Podman remoto (# 7979).
- Corrigido um bug em que a rede CNI sem raiz não usava o dnsname CNI
plugin se não estivesse disponível no host, apesar de estar sempre
disponível no contêiner usado para rede sem raiz (# 8040).
- Corrigido um bug em que o Podman não lidava com casos em que um OCI
o tempo de execução é especificado por seu caminho completo e pode reverter para usar
outro tempo de execução OCI com o mesmo caminho binário que existia no
system $ PATH em invocações subsequentes.
- Corrigido um bug em que a opção --net = host para criar e executar o podman
faria com que o arquivo / etc / hosts fosse preenchido incorretamente (# 8054).
- Corrigido um bug em que o comando podman inspect não incluía o contêiner
informações de rede quando o contêiner compartilhou seu namespace de rede
(Ou seja, ingressou em um pod ou namespace de rede de outro contêiner via
--net = container: ...) (# 8073).
- Corrigido um bug em que o comando podman ps não incluía informações sobre
todas as portas que um contêiner estava publicando.
- Corrigido um bug em que o comando podman build encaminhava incorretamente STDIN
em contêineres de construção a partir de instruções RUN.
- Corrigido um bug em que a opção --interval do comando podman wait não
funcionam quando as unidades não foram especificadas para a duração (# 8088).
- Corrigido um bug em que as opções --detach-keys e --detach poderiam estar
passou para podman criar apesar de não ter efeito (e não fazer sentido
nesse contexto).
- Corrigido um bug em que o Podman não conseguia iniciar contêineres se executado em um
sistema sem um arquivo /etc/resolv.conf (que ocorre em alguns WSL2
imagens) (# 8089).
- Corrigido um bug em que a opção --extract para podman cp não funcionava.
- Corrigido um bug em que a opção --cidfile para executar o podman, quando o
container não foi executado com --detach, apenas crie o arquivo após o
contêiner encerrado (# 8091).
- Corrigido um bug em que as imagens de podman e comandos de imagens de podman -a podiam
entrar em pânico e não listar nenhuma imagem quando certas imagens formatadas incorretamente
estavam presentes no armazenamento (# 8148).
- Corrigido um bug em que o comando podman events poderia, quando o journald
back-end de eventos estava em uso, tornava-se não funcional quando um
evento ou uma mensagem de log que contêiner determinada string estava presente no
diário (# 8125).
- Corrigido um bug em que Podman remoto, ao usar transporte SSH, não
autenticar no servidor usando chaves de host ao conectar em uma porta
diferente de 22 (# 8139).
- Corrigido um bug em que o comando podman attach não fechava quando
contêineres parados (# 8154).
- Corrigido um bug em que o Podman não limpava os caminhos corretamente antes de verificar
eles, resultando em Podman recusando-se a iniciar se o root ou temporário
os diretórios foram especificados com caracteres / finais extras (# 8160).
- Corrigido um bug em que o Podman remoto não era compatível com nomes de host com hash no
arquivo known_hosts no host para estabelecer conexões (# 8159).
- Corrigido um bug em que o comando podman image exists retornava diferente de zero
(falso) quando existiam várias correspondências potenciais para o nome fornecido.
- Corrigido um bug em que o comando de inspeção de manifesto do podman em imagens que
não são listas de manifestos, resultaria em erro em vez de inspecionar a imagem
(# 8023).
- Corrigido um bug em que o comando podman system service falhava se o
diretório onde o soquete Unix deveria ser criado não existia
(# 8184).
- Corrigido um bug em que pods que compartilhavam o namespace IPC (o que é feito por
padrão) não compartilhava um sistema de arquivos / dev / shm entre todos os contêineres em
o pod (# 8181).
- Corrigido um bug em que os filtros passados para a lista de volume do podman não eram
inclusive (# 6765).
- Corrigido um bug em que o comando podman volume create falhava quando o
o diretório de dados do volume já existia (como pode ocorrer quando um volume
não foi completamente removido) (# 8253).
- Corrigido um bug em que os comandos podman run e podman create
impasse ao tentar criar um contêiner que montou o mesmo nome
volume em vários locais (por exemplo, podman run -v testvol: / test1 -v
testvol: / test2) (# 8221).
- Corrigido um bug em que a análise da opção --net para construir podman era
incorreto (# 8322).
- Corrigido um bug em que o comando podman build imprimiria o ID do
imagem construída duas vezes ao usar Podman remoto (# 8332).
- Corrigido um bug em que o comando podman stats não mostrava limites de memória
para contêineres (# 8265).
- Corrigido um bug em que o comando podman pod inspect imprimia o MAC estático
endereço do pod em um formato não legível (# 8386).
- Corrigido um bug em que a opção --tls-verify do podman toca o kube
comando teve sua lógica invertida (false iria forçar o uso de TLS,
verdadeiro iria desativá-lo).
- Corrigido um bug em que o comando podman network rm apresentava um erro ao tentar
para remover redes macvlan e redes CNI sem raiz (# 8491).
- Corrigido um bug em que Podman não estava definindo padrões sãos para XDG_ ausente
variáveis ambientais.
- Corrigido um bug em que o Podman remoto verifica se os caminhos de volume devem ser
montado no contêiner existia no host, não no servidor (# 8473).
- Corrigido um bug em que a criação do manifesto do podman e a adição do manifesto do podman
comandos em imagens locais eliminariam quaisquer imagens no manifesto não
puxado pelo host.
- Corrigido um bug em que as redes feitas por podman network create não
incluem o plug-in de ajuste e, como tal, não oferece suporte à configuração personalizada
Endereços MAC (# 8385).
- Corrigido um bug em que as verificações de integridade do contêiner não usavam $ PATH quando
procurando o executável do Podman para executar a verificação de integridade.
- Corrigido um bug em que a opção --ip-range para criação de rede podman fazia
não lidar adequadamente com sub-redes não classful ao calcular o último
IP utilizável para atribuição DHCP (# 8448).
- Correção de um bug em que o alias ps do contêiner podman para podman ps era
ausente (# 8445).
* API
- O endpoint Compat Create para Container recebeu um grande refator
para compartilhar mais código com o endpoint Libpod Create, e deve ser
significativamente mais estável.
- Um endpoint de Compat para exportar várias imagens de uma vez, GET
/ images / get, foi adicionado (# 7950).
- Os pontos de extremidade Compat Network Connect e Network Disconnect foram
adicionado.
- Endpoints que lidam com registros de imagem agora suportam um
Cabeçalho X-Registry-Config para especificar a autenticação do registro
configuração.
- O endpoint Compat Create para imagens agora suporta adequadamente a especificação
imagens por resumo.
- O endpoint Libpod Build para imagens agora suporta uma consulta httpproxy
parâmetro que, se definido como verdadeiro, encaminhará o proxy HTTP do servidor
configurações no contêiner de compilação para instruções RUN.
- O endpoint Libpod Untag para imagens irá agora remover todas as tags para o
dada imagem se nenhum repositório e tag forem especificados para remoção.
- Corrigido um bug em que o endpoint de Ping digitava incorretamente um nome de cabeçalho
(Libpod-Buildha-Version em vez de Libpod-Buildah-Version).
- Corrigido um bug onde o endpoint Ping enviava uma nova linha extra no final de
sua resposta onde Docker não o fez.
- Corrigido um bug em que o endpoint de registros de compatibilidade para contêineres não enviava
um caractere de nova linha após cada linha de registro.
- Corrigido um bug em que o endpoint de registros de compatibilidade para contêineres estragava
finais de linha para alterar caracteres de nova linha para adicionar um carro anterior
return (# 7942).
- Corrigido um bug em que o endpoint de inspeção de compatibilidade para contêineres não
liste corretamente o sinal de parada do contêiner (# 7917).
- Corrigido um bug em que o endpoint de inspeção de compatibilidade para contêineres era formatado
a hora de criação do contêiner incorretamente (# 7860).
- Corrigido um bug em que o endpoint de inspeção de compatibilidade para contêineres não
inclua o caminho do contêiner, Args e contagem de reinicialização.
- Corrigido um bug em que o ponto de extremidade de inspeção de compatibilidade para contêineres era prefixado
recursos adicionados e eliminados com CAP_ (Docker não faz isso).
- Corrigido um bug em que o endpoint de informações de compatibilidade para o mecanismo não
incluem registros configurados.
- Corrigido um bug em que o servidor poderia entrar em pânico se um cliente fechasse um
conexão no meio de uma extração de imagem (# 7896).
- Corrigido um bug em que o endpoint Compat Create para volumes retornava um
erro quando um volume com o mesmo nome já existia, ao invés de
sucesso com um código 201 (# 7740).
- Corrigido um bug onde um cliente se desconectava do Libpod ou Compat
endpoints de eventos podem resultar no servidor usando 100% da CPU (# 7946).
- Corrigido um bug em que a mensagem de erro "no such image" enviada pelo Compat
Inspecionar endpoint para imagens retornou um código de status 404 com um erro
que foi formatado incorretamente para compatibilidade do Docker.
- Corrigido um bug em que o endpoint Compat Create para redes não
definir corretamente um padrão para o parâmetro do driver se não tiver sido fornecido
pelo cliente.
- Corrigido um bug em que o endpoint de inspeção de compatibilidade para imagens não
preencher o campo RootFS da resposta.
- Corrigido um bug em que o endpoint de inspeção de compatibilidade para imagens omitia o
Campo ParentId se a imagem não tinha pai e o campo Criado se o
a imagem não tinha hora de criação.
- Corrigido um bug em que o endpoint de remoção de compatibilidade para redes não
suporte o parâmetro de consulta Force.
Instruções do patch:
Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
como YaST online_update ou "patch zypper".
Como alternativa, você pode executar o comando listado para o seu produto:
- openSUSE Leap 15.2:
zypper em patch -t openSUSE-2021-310 = 1
Lista de Pacotes:
- openSUSE Leap 15.2 (noarch):
libcontainers-common-20210112-lp152.2.6.1
podman-cni-config-2.2.1-lp152.4.9.1
- openSUSE Leap 15.2 (x86_64):
buildah-1.19.2-lp152.2.3.1
podman-2.2.1-lp152.4.9.1
Referências:
https://www.suse.com/security/cve/CVE-2019-10214.html
https://www.suse.com/security/cve/CVE-2020-10696.html
https://bugzilla.suse.com/1144065
https://bugzilla.suse.com/1165184
Até a próxima !!
Nenhum comentário:
Postar um comentário