检测

SUSE SLES12 安全更新:docker (SUSE-SU-2015:0082-1)

high Nessus 插件 ID 83667

语言:

简介

远程 SUSE 主机缺少一个或多个安全更新。

描述

docker 的此版本升级修复了以下安全和非安全问题,并添加了其他功能:

- 更新到 1.4.1(2014 年 12 月 15 日):

- Runtime:

- 修复创建后未遵守 volumes-from 和绑定挂载的问题(修复 bnc#913213)

- 添加 e2fsprogs 作为运行时依存关系,使用 devicemapper 驱动程序时需要此关系。(bnc#913211)。

- 为 docker.socket 修复了所有者和群组(感谢 Andrei Dziahel 和 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=752555 #5)

- 更新到 1.4.0(2014 年 12 月 11 日):

- 自 1.3.0 以来的重要功能:

- 为后台程序设置 key=value 标签(显示在“docker info”中),使用新的“-label”后台程序标记进行应用

- 为以下形式的 Dockerfile 中的“ENV”添加支持:“ENV name=value name2=value2...”

- 新的 Overlayfs 存储驱动程序

-“docker info”现在返回“ID”和“Name”字段

- 按事件名称、容器或图像过滤事件

-“docker cp”现在支持从容器卷进行复制

- 修复了“docker tag”,因此其在覆盖现有图像的标记时会遵从“--force”。

- 由 1.3.3 引入的变更(2014 年 12 月 11 日):

- 安全:

- 修复处理绝对符号链接中的路径遍历漏洞 (CVE-2014-9356) - (bnc#909709)

- 修复 xz 图像存档的解压缩,从而防止权限升级 (CVE-2014-9357) - (bnc#909710)

- 验证图像 ID (CVE-2014-9358) - (bnc#909712)

- Runtime:

- 修复图像存档读取缓慢时出现的问题

- 客户端:

- 修复与 stdin 重定向相关的回归

- 修复当目标为当前目录时“docker cp”的回归

请注意,Tenable Network Security 已直接从 SUSE 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

请使用 YaST online_update 安装此 SUSE 安全更新。
或者,可以运行为产品列出的命令:

SUSE Linux Enterprise Server 12:

zypper in -t patch SUSE-SLE-SERVER-12-2015-28

要使系统保持最新状态,请使用“zypper 修补程序”。

另见

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=752555#5

https://bugzilla.suse.com/show_bug.cgi?id=909709

https://bugzilla.suse.com/show_bug.cgi?id=909710

https://bugzilla.suse.com/show_bug.cgi?id=909712

https://bugzilla.suse.com/show_bug.cgi?id=913211

https://bugzilla.suse.com/show_bug.cgi?id=913213

https://www.suse.com/security/cve/CVE-2014-9356/

https://www.suse.com/security/cve/CVE-2014-9357/

https://www.suse.com/security/cve/CVE-2014-9358/

http://www.nessus.org/u?f0dd7c95

插件详情

严重性: High

ID: 83667

文件名: suse_SU-2015-0082-1.nasl

版本: 2.10

类型: local

代理: unix

发布时间: 2015/5/20

最近更新时间: 2021/1/6

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: High

基本分数: 8.6

时间分数: 7.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:novell:suse_linux:docker, p-cpe:/a:novell:suse_linux:docker-debuginfo, p-cpe:/a:novell:suse_linux:docker-debugsource, cpe:/o:novell:suse_linux:12

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2015/1/19

漏洞发布日期: 2014/12/16

参考资料信息

CVE: CVE-2014-9356, CVE-2014-9357, CVE-2014-9358

BID: 71647, 71649, 71654