FERRAMENTAS LINUX: Atualização moderada de segurança do openSUSE para o buildah, libcontainers-common, podman, aviso openSUSE: 2021: 0310-1

sexta-feira, 19 de fevereiro de 2021

Atualização moderada de segurança do openSUSE para o buildah, libcontainers-common, podman, aviso openSUSE: 2021: 0310-1

Confira !!

Uma atualização que corrige duas vulnerabilidades já está disponível.


   Atualização de segurança do openSUSE: atualização de segurança para buildah, libcontainers-common, podman

______________________________________________________________________________


ID do anúncio: openSUSE-SU-2021: 0310-1

Avaliação: moderada

Referências: # 1144065 # 1165184 

Referências cruzadas: CVE-2019-10214 CVE-2020-10696

Pontuações CVSS:

                    CVE-2019-10214 (NVD): 5,9 CVSS: 3.1 / AV: N / AC: H / PR: N / UI: N / S: U / C: H / I: N / A: N

                    CVE-2019-10214 (SUSE): 9 CVSS: 3.0 / AV: N / AC: H / PR: N / UI: N / S: C / C: H / I: H / A: H

                    CVE-2020-10696 (NVD): 8,8 CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H

                    CVE-2020-10696 (SUSE): 8,8 CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: H / I: H / A: H


Produtos afetados:

                    openSUSE Leap 15.2

______________________________________________________________________________


   Uma atualização que corrige duas vulnerabilidades já está disponível.


Descrição:


   Esta atualização para buildah, libcontainers-common, podman corrige o seguinte

   questões:


   Mudanças em libcontainers-common:


   - Atualização comum para 0.33.0

   - Atualizar imagem para 5.9.0

   - Atualizar podman para 2.2.1

   - Atualize o armazenamento para 1.24.5

   - Mude para o perfil seccomp fornecido por comum em vez de podman

   - Atualize containers.conf para corresponder à versão mais recente


   Mudanças no buildah:


   Atualize para a versão 1.19.2:


   * Atualizar fornecedor de containers / storage e containers / common

   * Buildah inspect deve ser capaz de inspecionar manifestos

   * Faça buildah push suporte empurrando listas de manifestos e resumos

   * Correção do manuseio da variável de ambiente TMPDIR

   * Adicionar suporte para - sinalizadores de manifesto

   * O diretório superior deve corresponder ao modo do diretório de destino

   * Apenas pegue o SO, Arch se o usuário realmente os especificou

   * Use as opções --arch e --os e --variant para selecionar arquitetura e sistema operacional

   * Cirrus: Acompanhe a versão libseccomp e golang

   * copier.PutOptions: adicione um sinalizador "IgnoreDevices"

   * fix: `rmi --prune` quando a imagem pai está armazenada.

   * build (deps): bump github.com/containers/storage de 1.24.3 a 1.24.4

   * build (deps): bump github.com/containers/common de 0.31.1 a 0.31.2

   * Permitir que os usuários especifiquem stdin em contêineres

   * Solte a mensagem de registro em caso de falha na montagem dos sistemas de arquivos / sys nas informações

   * Ortografia

   * SELinux não requer mais uma tag.

   * build (dep): bump github.com/opencontainers/selinux de 1.6.0 a 1.8.0

   * build (deps): bump github.com/containers/common de 0.31.0 a 0.31.1

   * Atualizar nix pin com `make nixpkgs`

   * Alternar referências de / var / run -> / run

   * Permitir que FROM seja substituído pela opção from

   * copiadora: não assuma que podemos fazer o chroot () em sistemas Unixy

   * copiadora: adicione PutOptions.NoOverwriteDirNonDir, Get / PutOptions.Rename

   * copiadora: trata da substituição de diretórios por não diretórios

   * copiadora: Colocar: pula entradas com nomes de comprimento zero

   * build (deps): bump github.com/containers/storage de 1.24.2 a 1.24.3

   * Adicionar sinalizador de volume U aos volumes de origem do chown

   * Desligue o teste PRIOR_UBUNTU até que vm seja atualizado

   * pkg, cli: rootless usa isolamento correto

   * build (dep): bump github.com/onsi/gomega de 1.10.3 a 1.10.4

   * atualizar o documento de instalação para refletir o status atual

   * Afaste-se do docker.io

   * ativar apelidos de nomes curtos

   * build (dep): bump github.com/containers/storage de 1.24.1 a 1.24.2

   * build (dep): bump github.com/containers/common de 0.30.0 a 0.31.0

   * Lance erros ao usar sinalizadores --network falsos

   * teste de pacote / suplementado: substitua nosso blobinfocache nulo

   * build (dep): bump github.com/containers/common de 0.29.0 a 0.30.0

   * insere aspas esquecidas

   * Não prefiro usar imagem local criar / adicionar manifesto

   * Adicione informações do contêiner a .containerenv

   * Adicionar sinalizador --ignorefile para usar sinalizadores .dockerignore alternativos

   * Adicione uma versão de depuração de origem

   * Corrigir falha em comandos de filtro inválidos

   * build (dep): bump github.com/containers/common de 0.27.0 a 0.29.0

   * Mude para o uso de contêineres / pacotes comuns

   * correção: shebang não portátil # 2812

   * Remova erros de copiar / colar que vazaram `Podman` nas páginas de manual.

   * Adicionar sugestão de cpp ao arquivo de especificação

   * Aplicar sugestões de revisão de código

   * atualização de documentos para teste debian e instável

   * imagebuildah: desative os pseudo-terminais para RUN

   * Compute diffID para camada mapeada na criação de fonte de imagem

   * intermediárioImageExists: ignora imagens cujo histórico não podemos ler

   * Bump to v1.19.0-dev

   * build (dep): bump github.com/containers/common de 0.26.3 a 0.27.0

   * Corrigir erro de teste causado por mesclagem simultânea

   * Fornecedor em contêineres / armazenamento v1.24.0

   * alias de nomes curtos

   * Adicionar sinalizador --policy para buildah pull

   * Pare de embrulhar demais e gaguejar

   * copier.Get (): ignore ENOTSUP / ENOSYS ao listar xattrs

   * Executar: não desative forçosamente os namespaces UTS no modo sem raiz

   * teste: certifique-se de que o não diretório em um caminho do Dockerfile seja tratado corretamente

   * Adicione alguns testes para o comando `pull`

   * Corrigir buildah config --cmd para lidar com array

   * build (deps): bump github.com/containers/storage de 1.23.8 a 1.23.9

   * Corrigir NPE quando o caminho do Dockerfile contém entradas não pertencentes ao diretório

   * Atualize a página de manual do buildah bud a partir da página de manual de construção do podman

   * Mova a declaração de chaves de descriptografia para cli comum

   * Executar: chame copier.Mkdir corretamente

   * util: extrair UID / GID de os.FileInfo deve funcionar no Unix

   * imagebuildah.getImageTypeAndHistoryAndDiffIDs: resultados de cache

   * Verifique a entrada userns-uid-map e userns-gid-map

   * Use CPP, CC e sinalizadores em scripts de verificação de depósito

   * Evite substituir LDFLAGS no Makefile

   * ADICIONAR: lidar com --chown em URLs

   * Atualizar nix pin com `make nixpkgs`

   * (* Builder) .Run: MkdirAll: trata o erro EEXIST

   * copiadora: tente forçar o carregamento dos módulos nsswitch antes de chroot ()

   * corrigir o uso de MkdirAll

   * build (deps): bump github.com/containers/common de 0.26.2 a 0.26.3

   * build (deps): bump github.com/containers/storage de 1.23.7 ​​a 1.23.8

   * Use a tag de construção osusergo para construção estática

   * imagebuildah: o cache deve levar em consideração o formato da imagem

   * Bump para v1.18.0-dev


   Atualize para a versão 1.17.1:


   * copier.Get (): ignore ENOTSUP / ENOSYS ao listar xattrs

   * copiadora: tente forçar o carregamento dos módulos nsswitch antes de chroot ()

   * ADICIONAR: lidar com --chown em URLs

   * imagebuildah: o cache deve levar em consideração o formato da imagem

   * Atualizar configuração de CI para o branch release-1.17


   cni adicionado ao requer conforme necessário para que o buildah funcione


   Atualizar para v1.17.0 (boo # 1165184)


   * Lidar com casos onde outras ferramentas montam / desmontam recipientes

   * overlay.MountReadOnly: suporta montagens de sobreposição RO

   * overlay: use fusermount para montagens sem raiz

   * overlay: fix umount

   * Mude o nível de registro padrão de Buildah para Avisar. Os usuários precisam ver estes

     mensagens

   * Solte as mensagens de erro sobre o formato OCI / Docker para o nível de Aviso

   * build (dep): bump github.com/containers/common de 0.26.0 a 0.26.2

   * tests / testreport: ajustar para quebra de API no armazenamento v1.23.6

   * build (deps): bump github.com/containers/storage de 1.23.5 a 1.23.7

   * build (dep): bump github.com/fsouza/go-dockerclient de 1.6.5 a 1.6.6

   * copiadora: put: ignore Typeflag = "g"

   * Use curl para obter o arquivo repo (correção # 2714)

   * build (dep): bump github.com/containers/common de 0.25.0 a 0.26.0

   * build (dep): bump github.com/spf13/cobra de 1.0.0 a 1.1.1

   * Remova os documentos que se referem a bors, já que não estamos usando

   * Buildah bud não deve usar stdin por padrão

   * bump containerd, docker e golang.org/x/sys

   * Makefile: cross: remove windows.386 target

   * copier.copierHandlerPut: não verifique o comprimento quando houver erros

   * Pare de embrulhar excessivamente

   * CI: exige que os testes de conformidade sejam aprovados

   * bump (github.com/openshift/imagebuilder) para v1.1.8

   * Ignorar tlsVerify inseguro BUILD_REGISTRY_SOURCES

   * Corrigir contêineres incorretos de caminho de construção / podman # 7993

   * refatorar pullpolicy para evitar dependências

   * build (dep): bump github.com/containers/common de 0.24.0 a 0.25.0

   * CI: execute tarefas de gating com muito mais memória

   * ADICIONE e COPIE: desça para diretórios excluídos, às vezes

   * copiadora: adicione mais contexto a algumas mensagens de erro

   * copiadora: verifique um erro antes

   * copiadora: registra a saída stderr como depuração em caso de sucesso

   * Atualizar nix pin com make nixpkgs

   * Defina a propriedade do diretório quando copiado com o mapeamento de ID

   * build (dep): bump github.com/sirupsen/logrus de 1.6.0 a 1.7.0

   * build (dep): bump github.com/containers/common de 0.23.0 a 0.24.0

   * Cirrus: remover artefatos bors

   * Classifique as definições das bandeiras de construção em ordem alfabética

   * ADICIONE: apenas expanda os arquivos no momento certo

   * Remova a configuração para bors

   * Conclusão Shell para sinalizadores de construção de podman

   * Bump c / comum a v0.24.0

   * Nova verificação de CI: xref --help vs man pages

   * CI: reativar vários linters

   * Mova a descrição --userns-uid-map / - userns-gid-map para a página de manual do buildah

   * adicionar: preservar as propriedades e permissões dos arquivos ADICIONADOS

   * Makefile: ajuste o alvo de compilação cruzada

   * Bump containers / comum para v0.23.0

   * chroot: crie destinos de montagem de ligação 0755 em vez de 0700

   * Mude a chamada para Split () para SplitN mais seguro ()

   * chroot: corrige o tratamento das regras errno seccomp

   * build (dep): bump github.com/containers/image/v5 de 5.5.2 a 5.6.0

   * Adicionar seção em andamento para contribuir

   * testes de integração: certifique-se de que os testes sejam executados em $ {topdir} / tests

   * Run (): ignore a configuração do ambiente do containers.conf

   * Avisar ao definir a verificação de integridade no formato OCI

   * Cirrus: pular git-validate em branches

   * tools: atualize git-validation para o último commit

   * ferramentas: atualizar golangci-lint para v1.18.0

   * Adicione alguns testes de comando push

   * Add (): corrige o tratamento de caminhos relativos sem ContextDir

   * build (dep): bump github.com/containers/common de 0.21.0 a 0.22.0

   * Lint: Use os mesmos linters que o podman

   * Validar: referência HEAD

   * Correção de montagem buildah para exibir nomes de contêineres, não ids

   * Atualizar nix pin com make nixpkgs

   * Adicione a opção --format ausente no buildah da página de manual

   * Corrija o código baseado em codespell

   * build (deps): bump github.com/openshift/imagebuilder de 1.1.6 a 1.1.7

   * build (dep): bump github.com/containers/storage de 1.23.4 a 1.23.5

   * Melhorar as conclusões de buildah

   * Cirrus: Corrigir período de confirmação de validação

   * Corrigir a conclusão bash de sinalizadores de manifesto

   * Uniforme algumas páginas de manual

   * Atualize o tutorial Buildah para o endereço BZ1867426

   * Atualizar a conclusão do bash do subcomando de adição de manifesto

   * copier.Get (): destinos de link físico não devem ser caminhos relativos

   * build (dep): bump github.com/onsi/gomega de 1.10.1 a 1.10.2

   * Passe o carimbo de data / hora para as linhas do histórico

   * Timestamp é atualizado toda vez que você inspeciona uma imagem

   * bud.bats: use caminhos absolutos em testes recém-adicionados

   * contrib / cirrus / lib.sh: não use CN para o nome do host

   * testes: Adicione alguns testes

   * Atualizar a página de manual do manifesto

   * Estender sinalizadores de adição de manifesto

   * build (deps): bump github.com/containers/storage de 1.23.3 a 1.23.4

   * build (dep): bump github.com/onsi/ginkgo de 1.14.0 a 1.14.1

   * Bump to v1.17.0-dev

   * CI: expandir verificações de compilação cruzada

   - SLE: Remover patch desnecessário: CVE-2019-10214.patch


   Atualizar para v1.16.2


   * correção de construção em arcos de 32 bits

   * containerImageRef.NewImageSource (): nem sempre força carimbos de data / hora

   * Adicionar aviso de módulo de fusível ao leia-me da imagem

   * Preste atenção aos nossos valores de opção de atraso de repetição ao tentar novamente commit / pull / push

   * Mudar para contêineres / comum para seccomp

   * Use --timestamp em vez de --omit-timestamp

   * docs: remover aviso desatualizado

   * docs: remover aviso desatualizado

   * build-using-dockerfile: adiciona um sinalizador --log-rusage oculto

   * build (dep): bump github.com/containers/image/v5 de 5.5.1 a 5.5.2

   * Descartar ReportWriter se o usuário definir as opções.

   * build (deps): bump github.com/containers/common de 0,19,0 a 0,20,3

   * Corrija a propriedade do conteúdo copiado usando COPY - de

   * newTarDigester: zera os carimbos de data / hora nos cabeçalhos do alcatrão

   * Atualizar nix pin com `make nixpkgs`

   * bud.bats: testes de integração corretos .dockerignore

   * Use tubos para copiar

   * run: inclui stdout na mensagem de erro

   * run: use o erro correto para errors.Wrapf

   * copiadora: desexportar tipos internos

   * copiadora: adicione Mkdir ()

   * in_podman: não se deixe enganar por $ CIRRUS_CHANGE_TITLE

   * docs / buildah-commit.md: ajuste algumas palavras, adicione um exemplo --rm

   * imagebuildah: não esvazie os nomes dos destinos ao COPIAR

   * Substitua as funções de nova tentativa por common / pkg / retry

   * StageExecutor.historyMatches: compare os carimbos de data / hora usando .Equal

   * Atualizar fornecedor de contêineres / comum

   * Corrigir erros encontrados na varredura coverity

   * Alterar sinalizadores de manipulação de namespace para melhor corresponder aos comandos do podman

   * teste de conformidade: ignore buildah.BuilderIdentityAnnotation rótulos

   * Fornecedor em contêineres / armazenamento v1.23.0

   * Adicionar interface buildah.IsContainer

   * Evite alimentar run_buildah no cano

   * fix (buildahimage): adiciona dependência xz na imagem buildah

   * Bump github.com/containers/common de 0.15.2 para 0.18.0

   * Howto para construção de imagem sem raiz a partir do OpenShift

   * Adicionar sinalizador --omit-timestamp ao buildah bud

   * Atualizar nix pin com `make nixpkgs`

   * Desligue o armazenamento em caso de falhas

   * Manipular COPY - a partir de quando um argumento é usado

   * Bump github.com/seccomp/containers-golang de 0,5.0 a 0,6.0

   * Cirrus: Use imagens de VM recém-construídas

   * Bump github.com/opencontainers/runc de 1.0.0-rc91 para 1.0.0-rc92

   * Aprimore as páginas do manual .dockerignore

   * conformidade: adicione um teste para COPY do subdiretório

   * corrigir bug manifesto inspct

   * Adicione documentação para .dockerignore

   * Adicione BuilderIdentityAnnotation para identificar a versão de buildah

   * DOC: Adicionar imagem quay.io/containers/buildah ao README.md

   * Atualizar o readme buildahimages

   * corrigir erro de grafia na exibição do resultado do comando "info"

   * Não vincule / etc / host e /etc/resolv.conf se a rede não estiver presente

   * blobcache: evite um NewImage () desnecessário

   * Construa binário estático com `buildGoModule`

   * copiadora: divida StripSetidBits em

     StripSetuidBit / StripSetgidBit / StripStickyBit

   * tarFilterer: lidar com vários arquivos

   * Consertar uma corrida que atingimos durante os testes de conformidade

   * Teste de conformidade de retrabalho

   * Atualizar 02-registries-repositories.md

   * test-unit: invoca os testes cmd / buildah com --flags

   * parse: corrige uma incompatibilidade de tipo em um teste

   * Corrigir compilação de testes / relatório de teste / relatório de teste

   * build.sh: registre a versão do Go que estamos usando

   * unidade de teste: aumente o tempo limite de teste para 40/45 minutos

   * Adicione o pacote "copiadora"

   * Corrija e adicione notas sobre linguagem problemática na base de código

   * Adicione dependência em github.com/stretchr/testify/require

   * CompositeDigester: adicione a capacidade de filtrar fluxos de alcatrão

   * Testes BATS: torne mais robusto

   * vendor golang.org/x/ text@v0.3.3

   * Mude golang 1.12 para golang 1.13

   * imagebuildah: aguarde fases que podem nem ter começado ainda

   * chroot, run: not fail on bind mounts de / sys

   * chroot: não use setgroups se estiver bloqueado

   * Defina o ambiente do mecanismo em containers.conf

   * imagebuildah: retorna a imagem do palco certo como a imagem "final"

   * Consertar uma string de ajuda

   * Desduplicar variáveis ​​de ambiente

   * mudar containers / libpod para containers / podman

   * Bump github.com/containers/ocicrypt de 1.0.2 para 1.0.3

   * Bump github.com/opencontainers/selinux de 1.5.2 para 1.6.0

   * Mascare / sys / dev para evitar vazamento de informações

   * linux: ignora erros da eliminação do tempo de execução

   * Máscara sobre o / sys / fs / selinux na ramificação da máscara

   * Adicionar armazenamento de imagem adicional VFS ao contêiner

   * testes: adicionar testes de autenticação

   * Permita "somente leitura" como alias para "ro" nas opções de montagem

   * Ignorar a opção de montagem de consistência específica do OS X

   * Bump github.com/onsi/ginkgo de 1.13.0 para 1.14.0

   * Bump github.com/containers/common de 0.14.0 para 0.15.2

   * Buildah Rootless deve ser padronizado como IsolationOCIRootless

   * imagebuildah: conserta compilações de vários estágios herdadas

   * Torne imagebuildah.BuildOptions.Architecture / OS opcional

   * Torne imagebuildah.BuildOptions.Jobs opcional

   * Resolva uma possível corrida em imagebuildah.Executor.startStage ()

   * Alterne os scripts para usar containers.conf

   * Bump openshift / imagebuilder para v1.1.6

   * Bump go.etcd.io/bbolt de 1.3.4 para 1.3.5

   * buildah, bud: support --jobs = N para execução paralela

   * executor: refatorar o código de compilação dentro da nova função

   * Adicionar testes de regressão de botões

   * Cirrus: Corrigir htpasswd ausente no registro img

   * docs: esclarecer o formato de 'triplos'

   * CHANGELOG.md: Correção da formatação de markdown

   * Adicionar derivação nix para construções estáticas


   Atualizar para v1.15.1


   * Máscara sobre o / sys / fs / selinux na ramificação da máscara

   * chroot: não use setgroups se estiver bloqueado

   * chroot, run: not fail on bind mounts de / sys

   * Permita "somente leitura" como alias para "ro" nas opções de montagem

   * Adicionar armazenamento de imagem adicional VFS ao contêiner

   * vendor golang.org/x/ text@v0.3.3

   * Torne imagebuildah.BuildOptions.Architecture / OS opcional


   Atualizar para v1.15.0


   * Adicione CVE-2020-10696 a CHANGELOG.md e changelog.txt

   * corrigir exemplo lighttpd

   * remova a dependência da estrutura openshift

   * Avisar sobre argumentos de construção não definidos

   * vendor: atualize seccomp / containers-golang para v0.4.1

   * Documentos atualizados

   * limpar comentários

   * atualizar o código de saída para testes

   * Implementar confirmação para criptografia

   * implementação de criptografar / descriptografar push / pull / bud / from

   * corrigir o nome da imagem docker como transporte

   * Adicionar suporte de criação de perfil preliminar ao CLI

   * Avalie os links simbólicos no diretório de contexto de construção

   * corrigir informações de erro sobre obter assinaturas para containerImageSource

   * Adicionar Política de Segurança

   * Cirrus: correções de comentários de revisão

   * imagebuildah: estágios não devem contar como suas imagens de base

   * Atualizar contêineres / v0.10.0 comum

   * Adicionar registro aos Dockerfiles de buildahimage

   * Cirrus: Use pacotes VM pré-instalados + F32

   * Cirrus: Reative todas as versões da distro

   * Cirrus: Atualize para F31 + Use imagens de cache

   * golangci-lint: Desativar gosimple

   * Menor número de fios de algodão golangci

   * Corrija as permissões em containers.conf

   * Não force os testes para usar runc

   * Retornar código de saída de contêineres com falha

   * cgroup_manager deve estar em [engine]

   * Use c / common / pkg / auth em login / logout

   * Cirrus: desative temporariamente o teste do Ubuntu 19

   * Adicione containers.conf ao build stablebyhand

   * Atualize o gitignore para excluir os Dockerfiles de teste

   * Remova o aviso para o systemd dentro do contêiner


   - Adicionar patch para CVE-2019-10214. boo # 1144065

     + CVE-2019-10214.patch


   Mudanças no podman:


   Atualizar para v2.2.1


   * Alterar


     - Devido a um conflito com um campo removido anteriormente, fomos forçados a

       modificar a forma como os volumes de imagem (montagem de imagens em contêineres usando

       --mount type = image) foram tratados no banco de dados. Como um resultado,

        contêineres criados no Podman 2.2.0 com volume de imagem não terão

        na v2.2.1 e esses contêineres precisarão ser recriados.


   * Correções de bugs


     - Corrigido um bug onde o Podman sem raiz faria, em sistemas sem o

       Variável de ambiente XDG_RUNTIME_DIR definida, use um caminho incorreto

       para o arquivo PID do processo de pausa do Podman, fazendo com que o Podman falhe

       para começar (# 8539).

     - Corrigido um bug em que os contêineres criados usando Podman v1.7 e anterior

       estavam inutilizáveis ​​no Podman devido a erros de decodificação JSON (# 8613).

     - Corrigido um bug em que o Podman poderia recuperar caminhos inválidos de cgroup, em vez

       de erro, para contêineres que não estavam em execução.

     - Corrigido um bug em que o comando de reinicialização do sistema podman imprimia um

       aviso sobre um manipulador de desligamento duplicado sendo registrado.

     - Corrigido um bug em que o Podman sem raiz tentava montar sysfs em

       circunstâncias em que não era permitido; alguns tempos de execução OCI (notavelmente

       crun) voltaria para alternativas e não falharia, mas outros

       (notavelmente runc) falharia ao executar contêineres.

     - Corrigido um bug em que os comandos podman run e podman create falhavam

       para criar contêineres de imagens não marcadas (# 8558).

     - Corrigido um bug em que o Podman remoto pedia uma senha mesmo quando

       o servidor não oferece suporte à autenticação de senha (# 8498).

     - Corrigido um bug em que o comando podman exec não movia o Conmon

       processo para a sessão exec no cgroup correto.

     - Corrigido um bug em que a conclusão do shell para a opção ancestral para podman

       ps --filter não funcionou corretamente.

     - Corrigido um bug em que os contêineres separados não limpavam adequadamente

       se levantem (ou removam-se se --rm estiver definido) se o Podman

       o comando que os criou foi invocado com --log-level = debug.


   * API


     - Corrigido um bug em que o endpoint de criação de compatibilidade para contêineres não

       manipular adequadamente os parâmetros Binds e Mounts no HostConfig.

     - Corrigido um bug em que o endpoint de criação de compatibilidade para contêineres era ignorado

       o parâmetro de consulta Name.

     - Corrigido um bug em que o endpoint de criação de compatibilidade para contêineres não

       lidar corretamente com o valor "padrão" para NetworkMode (este valor é

       usado extensivamente por docker-compose) (# 8544).

     - Corrigido um bug em que o endpoint de compilação de compatibilidade para imagens às vezes

       usar incorretamente o parâmetro de consulta de destino como a tag da imagem.


   * Misc


     - Podman v2.2.0 vendeu uma versão personalizada não lançada do

       pacote github.com/spf13/cobra; isto foi revertido para o mais recente

       liberação a montante para auxiliar no empacotamento.

     - Atualização dos contêineres / biblioteca de imagens para v5.9.0


   Atualizar para v2.2.0


   * Características


    - Foi adicionado suporte experimental para apelidos de nomes curtos. Isso não é

      ativado por padrão, mas pode ser ativado definindo o ambiente

      variável CONTAINERS_SHORT_NAME_ALIASING para on. Documentação é

      disponível aqui e aqui.

    - O suporte inicial foi adicionado para a conexão de rede podman e

      comandos de desconexão de rede podman, que permitem que os contêineres existentes

      modificar a quais redes eles estão conectados. No momento, esses comandos

      só pode ser usado em contêineres em execução que não especificaram

      --network = nenhum quando foram criados.

    - O comando podman run agora suporta a opção --network-alias para definir

      aliases de rede (nomes adicionais em que o contêiner pode ser acessado

      outros contêineres via DNS se o plug-in CNI dnsname estiver em uso). Apelido

      também podem ser adicionados e removidos usando a nova conexão de rede podman e

      comandos de desconexão de rede podman. Observe que isso requer um

      nova versão (v1.1.0) do plugin dnsname, e só funcionará em

      redes CNI recém-criadas.

    - O comando podman generate kube agora oferece suporte para exportação

      limites de memória e CPU do contêiner (# 7855).

    - O comando podman play kube agora oferece suporte para configuração de CPU e

      Limites de memória para contêineres (# 7742).

    - O comando podman play kube agora oferece suporte a reivindicações de volumes persistentes

      usando volumes nomeados Podman.

    - O comando podman play kube agora oferece suporte a configmaps do Kubernetes por meio do

      opção --configmap (# 7567).

    - O comando podman play kube agora suporta uma opção --log-driver para definir

      o driver de log para containers criados.

    - O comando podman play kube agora suporta uma opção --start, habilitada por

      padrão, para iniciar o pod após criá-lo. Isso permite que o podman

      play kube para ser usado mais facilmente em arquivos de unidade do systemd.

    - O comando podman network create agora suporta a opção --ipv6 para

      habilite a rede IPv6 de pilha dupla para redes criadas (# 7302).

    - O comando podman inspect agora pode inspecionar pods, redes e volumes,

      além de contêineres e imagens (# 6757).

    - A opção --mount para podman run e podman create agora suporta um novo

      tipo, imagem, para montar o conteúdo de uma imagem no contêiner em um

      determinado local.

    - As conclusões Bash e ZSH foram completamente retrabalhadas e

      recebeu melhorias significativas! Além disso, suporte para Fish

      conclusões e conclusões para o executável remoto podman foram

      adicionado.

    - A opção --log-opt para podman create e podman run agora suporta o

      opção max-size para definir o tamanho máximo dos logs de um contêiner (# 7434).

    - A opção --network do comando podman pod create agora permite pods

      a ser configurado para usar a rede slirp4netns, mesmo quando executado como root

      (# 6097).

    - podman pod stop, podman pod pause, podman pod unpause e podman

      comandos pod kill agora funcionam em vários contêineres em paralelo e

      deve ser significativamente mais rápido.

    - O comando de pesquisa do podman agora suporta uma opção --list-tags para listar todos

      tags disponíveis para uma única imagem em um único repositório.

    - O comando de pesquisa do podman agora pode gerar JSON usando --format = json

      opção.

    - Os comandos podman diff e podman mount agora funcionam com todos os contêineres

      na biblioteca de armazenamento, incluindo aqueles não criados pelo Podman. Esta

      permite que sejam usados ​​com contêineres Buildah e CRI-O.

    - O comando podman container exists agora apresenta uma opção --external para

      verifique se existe um contêiner não apenas no Podman, mas também no armazenamento

      biblioteca. Isso permitirá que o Podman identifique Buildah e CRI-O

      recipientes.

    - As opções --tls-verify e --authfile foram habilitadas para uso com

      Podman remoto.

    - O arquivo / etc / hosts agora inclui o nome do contêiner e o nome do host

      (ambos apontando para localhost) quando o contêiner é executado com --net = none

      (# 8095).

    - O comando podman events agora oferece suporte à filtragem de eventos com base no

      rótulos do contêiner em que ocorreram usando o --filter

      etiqueta = chave = opção de valor.

    - O comando podman volume ls agora oferece suporte à filtragem de volumes com base em

      seus rótulos usando a opção --filter label = key = value.

    - As opções --volume e --mount para executar e criar podman agora

      suporta duas novas opções de propagação de montagem, unbindable e runbindable.

    - Os filtros de nome e id para podman pod ps agora correspondem com base em um padrão

      expressão, em vez de exigir uma correspondência exata.

    - O comando podman pod ps agora oferece suporte a um novo status de filtro, que

      corresponde a vagens em um determinado estado.

   * Alterar

    - O comando podman network rm --force agora também removerá pods que

      estão usando a rede (# 7791).

    - Os comandos podman volume rm, podman network rm e podman pod rm agora

      retornar o código de saída 1 se o objeto especificado para remoção não existir,

      e sair do código 2 se o objeto estiver em uso e a opção --force não estiver

      dado.

    - Se / dev / fuse for passado para os contêineres do Podman como um dispositivo, o Podman irá

      abra-o antes de iniciar o contêiner para garantir que o módulo do kernel

      é carregado no host e o dispositivo pode ser usado no contêiner.

    - Opções globais de Podman que não eram compatíveis com operação remota

      foram removidos do podman-remote (por exemplo --cgroup-manager,

      --storage-driver).

    - Muitos erros foram alterados para remover a repetição e ser mais claro como

      para o que deu errado.

    - A opção --storage para podman rm agora está habilitada por padrão, com

      semântica ligeiramente alterada. Se o contêiner fornecido não existir em

      Podman, mas existe na biblioteca de armazenamento, será removido mesmo

      sem a opção --storage. Se o contêiner existir no Podman,

      ser removido normalmente. A opção --storage para podman rm agora é

      obsoleto e será removido em uma versão futura.

    - A opção --storage para podman ps foi renomeada para --external. A

      alias foi adicionado para que a forma antiga da opção continue a

      trabalhar.

    - Podman agora atrasa os sinais SIGTERM e SIGINT durante o contêiner

      criação para garantir que o Podman não seja interrompido no meio da criação de um

      container resultando em vazamento potencial de recursos (# 7941).

    - O comando podman save agora remove assinaturas de imagens que é

      exportação, pois os formatos para os quais exportamos não suportam assinaturas

      (# 7659).

    - Um novo estado Degradado foi adicionado aos pods. Pods que têm alguns, mas

      nem todos, de seus contêineres em execução agora são considerados degradados

      em vez de correr.

    - O Podman agora imprimirá um aviso quando houver opções de rede conflitantes

      relacionados ao encaminhamento de porta (por exemplo, --publish e --net = host) são

      especificado ao criar um contêiner.

    - As opções --restart em caso de falha e --rm para contêineres não são mais

      conflito. Quando ambos são especificados, o contêiner será reiniciado se

      sai com um código de erro diferente de zero e é removido se sair de forma limpa

      (# 7906).

    - O Podman remoto não usará mais as configurações do cliente

      containers.conf; os padrões serão fornecidos pelo servidor

      containers.conf (# 7657).

    - O comando podman network rm agora tem um novo alias, podman network

      remover (# 8402).

   * Correções de bugs

    - Corrigido um bug em que o carregamento do podman no cliente remoto não apresentava erro quando

      tentando carregar um diretório, que ainda não é compatível com

      usar.

    - Corrigido um bug em que o Podman sem raiz podia travar quando o binário newuidmap

      não foi instalado (# 7776).

    - Corrigido um bug em que a opção --pull para executar podman, criar podman e

      A compilação do podman não correspondeu ao comportamento do Docker.

    - Corrigido um bug em que as configurações de sysctl do containers.conf

      arquivo de configuração foi aplicado, mesmo se o contêiner não se juntou ao

      namespace associado a um sysctl.

    - Corrigido um bug em que o Podman não retornava o texto dos erros encontrados

      ao tentar executar uma verificação de integridade de um contêiner.

    - Corrigido um bug em que o Podman estava configurando acidentalmente os contêineres

      variável de ambiente, além do ambiente de contêiner esperado

      variável.

    - Corrigido um bug em que o Podman sem raiz usando rede CNI não funcionava corretamente

      limpe as entradas DNS para os contêineres removidos (# 7789).

    - Corrigido um bug em que o comando podman untag --all não era compatível com

      Podman remoto.

    - Corrigido um bug em que o comando de serviço do sistema podman poderia atingir o tempo limite mesmo

      se houver conexões de anexação ativas (# 7826).

    - Corrigido um bug em que o comando de serviço do sistema podman às vezes

      nunca expire, apesar de nenhuma conexão ativa estar presente.

    - Corrigido um bug em que o tratamento de recursos do Podman, especificamente

      herdável, não corresponde ao de Docker.

    - Corrigido um bug em que a execução do podman falhava se a imagem especificada fosse um

      lista de manifestos e já havia sido puxado (# 7798).

    - Corrigido um bug em que o Podman não levava os registros de pesquisa em consideração

      ao procurar imagens localmente (# 6381).

    - Corrigido um bug em que o comando de inspeção de manifesto do podman falhava para

      imagens que já foram retiradas (# 7726).

    - Corrigido um bug em que o Podman sem raiz não adicionava GIDs complementares ao

      contêineres quando um usuário, mas não um grupo, foi definido por meio do --user

      opção para criar e executar o podman e GIDs suficientes foram

      disponível para adicionar os grupos (# 7782).

    - Corrigido um bug em que os comandos remotos do Podman não tratavam adequadamente dos casos

      onde o usuário forneceu um nome que também poderia ser um ID curto para um pod ou

      recipiente (# 7837).

    - Corrigido um bug em que podman image podman poderia deixar imagens prontas para serem

      podado após a podman image podman ser executada (# 7872).

    - Corrigido um bug em que o comando podman logs com o driver journald log

      não leria todos os logs disponíveis (# 7476).

    - Corrigido um bug onde as opções --rm e --restart para criar podman e

      a execução do podman não entrou em conflito quando uma política de reinicialização que não é

      em caso de falha foi escolhido (# 7878).

    - Corrigido um bug onde a opção --format "table {{.Field}}" para vários

      Os comandos do Podman deixaram de funcionar no Podman v2.0 e superior.

    - Corrigido um bug em que os pods não compartilhavam corretamente um rótulo SELinux entre

      seus contêineres, resultando em contêineres incapazes de ver o

      processos de outros contêineres quando o pod compartilhou um namespace PID

      (# 7886).

    - Corrigido um bug em que a opção --namespace para podman ps não funcionava com

      o cliente remoto (# 7903).

    - Corrigido um bug em que o Podman sem raiz calculava incorretamente o número de

      UIDs disponíveis no contêiner se houver vários intervalos diferentes de UIDs

      foram especificados.

    - Corrigido um bug em que o arquivo / etc / hosts não era preenchido corretamente

      para contêineres em um namespace de usuário (# 7490).

    - Corrigido um bug em que a rede podman cria e a rede podman remove

      os comandos podem correr quando executados em paralelo, com resultados imprevisíveis

      (# 7807).

    - Corrigido um bug em que a opção -p para executar podman, criar podman e

      podman pod create seria, quando dado apenas um único número (por exemplo, -p 80),

      atribuir a mesma porta para host e contêiner, em vez de gerar

      uma porta de host aleatória (# 7947).

    - Corrigido um bug em que os contêineres do Podman não armazenavam corretamente o cgroup

      gerente com o qual foram criados, fazendo com que parem de funcionar após

      o gerenciador do cgroup foi alterado em containers.conf ou com o

      opção --cgroup-manager (# 7830).

    - Corrigido um bug em que o comando podman inspect não incluía

      informações sobre as redes CNI às quais um contêiner estava conectado, se fosse

      não está funcionando.

    - Corrigido um bug em que o comando podman attach não imprimia uma nova linha

      após a separação do recipiente (# 7751).

    - Corrigido um bug em que a variável de ambiente HOME não estava configurada corretamente no

      recipientes quando a opção --userns = keep-id foi definida (# 8004).

    - Corrigido um bug em que o comando podman container restore podia entrar em pânico quando

      o contêiner em questão estava em um pod (# 8026).

    - Corrigido um bug em que a saída da imagem de confiança do podman mostra --raw

      comando não foi formatado corretamente.

    - Corrigido um bug em que o comando podman runlabel poderia entrar em pânico se um rótulo para

      run não foi fornecido (# 8038).

    - Corrigido um bug em que o podman executa e os comandos podman start --attach

      sairia com um erro quando o usuário se desconectasse manualmente usando o

      desconecte as chaves no Podman remoto (# 7979).

    - Corrigido um bug em que a rede CNI sem raiz não usava o dnsname CNI

      plugin se não estivesse disponível no host, apesar de estar sempre

      disponível no contêiner usado para rede sem raiz (# 8040).

    - Corrigido um bug em que o Podman não lidava com casos em que um OCI

      o tempo de execução é especificado por seu caminho completo e pode reverter para usar

      outro tempo de execução OCI com o mesmo caminho binário que existia no

      system $ PATH em invocações subsequentes.

    - Corrigido um bug em que a opção --net = host para criar e executar o podman

      faria com que o arquivo / etc / hosts fosse preenchido incorretamente (# 8054).

    - Corrigido um bug em que o comando podman inspect não incluía o contêiner

      informações de rede quando o contêiner compartilhou seu namespace de rede

      (Ou seja, ingressou em um pod ou namespace de rede de outro contêiner via

      --net = container: ...) (# 8073).

    - Corrigido um bug em que o comando podman ps não incluía informações sobre

      todas as portas que um contêiner estava publicando.

    - Corrigido um bug em que o comando podman build encaminhava incorretamente STDIN

      em contêineres de construção a partir de instruções RUN.

    - Corrigido um bug em que a opção --interval do comando podman wait não

      funcionam quando as unidades não foram especificadas para a duração (# 8088).

    - Corrigido um bug em que as opções --detach-keys e --detach poderiam estar

      passou para podman criar apesar de não ter efeito (e não fazer sentido

      nesse contexto).

    - Corrigido um bug em que o Podman não conseguia iniciar contêineres se executado em um

      sistema sem um arquivo /etc/resolv.conf (que ocorre em alguns WSL2

      imagens) (# 8089).

    - Corrigido um bug em que a opção --extract para podman cp não funcionava.

    - Corrigido um bug em que a opção --cidfile para executar o podman, quando o

      container não foi executado com --detach, apenas crie o arquivo após o

      contêiner encerrado (# 8091).

    - Corrigido um bug em que as imagens de podman e comandos de imagens de podman -a podiam

      entrar em pânico e não listar nenhuma imagem quando certas imagens formatadas incorretamente

      estavam presentes no armazenamento (# 8148).

    - Corrigido um bug em que o comando podman events poderia, quando o journald

      back-end de eventos estava em uso, tornava-se não funcional quando um

      evento ou uma mensagem de log que contêiner determinada string estava presente no

      diário (# 8125).

    - Corrigido um bug em que Podman remoto, ao usar transporte SSH, não

      autenticar no servidor usando chaves de host ao conectar em uma porta

      diferente de 22 (# 8139).

    - Corrigido um bug em que o comando podman attach não fechava quando

      contêineres parados (# 8154).

    - Corrigido um bug em que o Podman não limpava os caminhos corretamente antes de verificar

      eles, resultando em Podman recusando-se a iniciar se o root ou temporário

      os diretórios foram especificados com caracteres / finais extras (# 8160).

    - Corrigido um bug em que o Podman remoto não era compatível com nomes de host com hash no

      arquivo known_hosts no host para estabelecer conexões (# 8159).

    - Corrigido um bug em que o comando podman image exists retornava diferente de zero

      (falso) quando existiam várias correspondências potenciais para o nome fornecido.

    - Corrigido um bug em que o comando de inspeção de manifesto do podman em imagens que

      não são listas de manifestos, resultaria em erro em vez de inspecionar a imagem

      (# 8023).

    - Corrigido um bug em que o comando podman system service falhava se o

      diretório onde o soquete Unix deveria ser criado não existia

      (# 8184).

    - Corrigido um bug em que pods que compartilhavam o namespace IPC (o que é feito por

      padrão) não compartilhava um sistema de arquivos / dev / shm entre todos os contêineres em

      o pod (# 8181).

    - Corrigido um bug em que os filtros passados ​​para a lista de volume do podman não eram

      inclusive (# 6765).

    - Corrigido um bug em que o comando podman volume create falhava quando o

      o diretório de dados do volume já existia (como pode ocorrer quando um volume

      não foi completamente removido) (# 8253).

    - Corrigido um bug em que os comandos podman run e podman create

      impasse ao tentar criar um contêiner que montou o mesmo nome

      volume em vários locais (por exemplo, podman run -v testvol: / test1 -v

      testvol: / test2) (# 8221).

    - Corrigido um bug em que a análise da opção --net para construir podman era

      incorreto (# 8322).

    - Corrigido um bug em que o comando podman build imprimiria o ID do

      imagem construída duas vezes ao usar Podman remoto (# 8332).

    - Corrigido um bug em que o comando podman stats não mostrava limites de memória

      para contêineres (# 8265).

    - Corrigido um bug em que o comando podman pod inspect imprimia o MAC estático

      endereço do pod em um formato não legível (# 8386).

    - Corrigido um bug em que a opção --tls-verify do podman toca o kube

      comando teve sua lógica invertida (false iria forçar o uso de TLS,

      verdadeiro iria desativá-lo).

    - Corrigido um bug em que o comando podman network rm apresentava um erro ao tentar

      para remover redes macvlan e redes CNI sem raiz (# 8491).

    - Corrigido um bug em que Podman não estava definindo padrões sãos para XDG_ ausente

      variáveis ​​ambientais.

    - Corrigido um bug em que o Podman remoto verifica se os caminhos de volume devem ser

      montado no contêiner existia no host, não no servidor (# 8473).

    - Corrigido um bug em que a criação do manifesto do podman e a adição do manifesto do podman

      comandos em imagens locais eliminariam quaisquer imagens no manifesto não

      puxado pelo host.

    - Corrigido um bug em que as redes feitas por podman network create não

      incluem o plug-in de ajuste e, como tal, não oferece suporte à configuração personalizada

      Endereços MAC (# 8385).

    - Corrigido um bug em que as verificações de integridade do contêiner não usavam $ PATH quando

      procurando o executável do Podman para executar a verificação de integridade.

    - Corrigido um bug em que a opção --ip-range para criação de rede podman fazia

      não lidar adequadamente com sub-redes não classful ao calcular o último

      IP utilizável para atribuição DHCP (# 8448).

    - Correção de um bug em que o alias ps do contêiner podman para podman ps era

      ausente (# 8445).

   * API

    - O endpoint Compat Create para Container recebeu um grande refator

      para compartilhar mais código com o endpoint Libpod Create, e deve ser

      significativamente mais estável.

    - Um endpoint de Compat para exportar várias imagens de uma vez, GET

      / images / get, foi adicionado (# 7950).

    - Os pontos de extremidade Compat Network Connect e Network Disconnect foram

      adicionado.

    - Endpoints que lidam com registros de imagem agora suportam um

      Cabeçalho X-Registry-Config para especificar a autenticação do registro

      configuração.

    - O endpoint Compat Create para imagens agora suporta adequadamente a especificação

      imagens por resumo.

    - O endpoint Libpod Build para imagens agora suporta uma consulta httpproxy

      parâmetro que, se definido como verdadeiro, encaminhará o proxy HTTP do servidor

      configurações no contêiner de compilação para instruções RUN.

    - O endpoint Libpod Untag para imagens irá agora remover todas as tags para o

      dada imagem se nenhum repositório e tag forem especificados para remoção.

    - Corrigido um bug em que o endpoint de Ping digitava incorretamente um nome de cabeçalho

      (Libpod-Buildha-Version em vez de Libpod-Buildah-Version).

    - Corrigido um bug onde o endpoint Ping enviava uma nova linha extra no final de

      sua resposta onde Docker não o fez.

    - Corrigido um bug em que o endpoint de registros de compatibilidade para contêineres não enviava

      um caractere de nova linha após cada linha de registro.

    - Corrigido um bug em que o endpoint de registros de compatibilidade para contêineres estragava

      finais de linha para alterar caracteres de nova linha para adicionar um carro anterior

      return (# 7942).

    - Corrigido um bug em que o endpoint de inspeção de compatibilidade para contêineres não

      liste corretamente o sinal de parada do contêiner (# 7917).

    - Corrigido um bug em que o endpoint de inspeção de compatibilidade para contêineres era formatado

      a hora de criação do contêiner incorretamente (# 7860).

    - Corrigido um bug em que o endpoint de inspeção de compatibilidade para contêineres não

      inclua o caminho do contêiner, Args e contagem de reinicialização.

    - Corrigido um bug em que o ponto de extremidade de inspeção de compatibilidade para contêineres era prefixado

      recursos adicionados e eliminados com CAP_ (Docker não faz isso).

    - Corrigido um bug em que o endpoint de informações de compatibilidade para o mecanismo não

      incluem registros configurados.

    - Corrigido um bug em que o servidor poderia entrar em pânico se um cliente fechasse um

      conexão no meio de uma extração de imagem (# 7896).

    - Corrigido um bug em que o endpoint Compat Create para volumes retornava um

      erro quando um volume com o mesmo nome já existia, ao invés de

      sucesso com um código 201 (# 7740).

    - Corrigido um bug onde um cliente se desconectava do Libpod ou Compat

      endpoints de eventos podem resultar no servidor usando 100% da CPU (# 7946).

    - Corrigido um bug em que a mensagem de erro "no such image" enviada pelo Compat

      Inspecionar endpoint para imagens retornou um código de status 404 com um erro

      que foi formatado incorretamente para compatibilidade do Docker.

    - Corrigido um bug em que o endpoint Compat Create para redes não

      definir corretamente um padrão para o parâmetro do driver se não tiver sido fornecido

      pelo cliente.

    - Corrigido um bug em que o endpoint de inspeção de compatibilidade para imagens não

      preencher o campo RootFS da resposta.

    - Corrigido um bug em que o endpoint de inspeção de compatibilidade para imagens omitia o

      Campo ParentId se a imagem não tinha pai e o campo Criado se o

      a imagem não tinha hora de criação.

    - Corrigido um bug em que o endpoint de remoção de compatibilidade para redes não

      suporte o parâmetro de consulta Force.



Instruções do patch:


   Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE

   como YaST online_update ou "patch zypper".


   Como alternativa, você pode executar o comando listado para o seu produto:


   - openSUSE Leap 15.2:


      zypper em patch -t openSUSE-2021-310 = 1




Lista de Pacotes:


   - openSUSE Leap 15.2 (noarch):


      libcontainers-common-20210112-lp152.2.6.1

      podman-cni-config-2.2.1-lp152.4.9.1


   - openSUSE Leap 15.2 (x86_64):


      buildah-1.19.2-lp152.2.3.1

      podman-2.2.1-lp152.4.9.1



Referências:


   https://www.suse.com/security/cve/CVE-2019-10214.html

   https://www.suse.com/security/cve/CVE-2020-10696.html

   https://bugzilla.suse.com/1144065

   https://bugzilla.suse.com/1165184





Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário