1.2.5 リリース1.1.2

この項では、Oracle Linux Cloud Native Environmentのリリース1.1.2での主な変更点についてリストします。

Kubernetesの更新: Kubernetesはリリース1.17.9に更新され、次のCVEが解決されました。

  • CVE-2020-8559。このCVEは、攻撃者がkubeletへの特定のリクエストを傍受できる場合、元のリクエストの資格情報を使用してクライアントが従う可能性のあるリダイレクト応答を送信できるという問題に関連しています。これにより、他のノードが危険にさらされる可能性があります。

  • CVE-2020-8557。このCVEは、ポッドによる一時的な記憶域使用量を計算するときに、kubeletによってポッドにマウントされた/etc/hostsファイルがkubeletエビクション・マネージャに含まれない問題に関連しています。ポッドが大量のデータを/etc/hostsファイルに書き込むと、ノードの記憶域がいっぱいになり、ノードに障害が発生する可能性があります。

Istioの更新: Istioがリリース1.4.10に更新され、次のCVEが解決されました。

  • CVE-2020-1764。このCVEは、Kialiをインストールするためのデフォルトのsigning keyに関連しています。これにより、Kialiへのアクセス権を持つ攻撃者が、認証をバイパスし、Istioに対する管理権限を取得できる可能性があります。

  • CVE-2020-10739。このCVEは、特別に作成されたパケットを送信する際に、攻撃者がNullポインタ例外をトリガーしてサービス拒否を引き起こす可能性があるという問題に関連しています。これは入力ゲートウェイまたはサイドカーに送信される可能性があります。

  • CVE-2020-11080。このCVEは、特別に作成したパケットを送信する際に、攻撃者がCPUを100%でスパイクする可能性があるという問題に関連しています。これは入力ゲートウェイまたはサイドカーに送信される可能性があります。

  • CVE-2020-15104。このCVEは、TLS証明書の検証時に、EnvoyがDNSサブジェクト代替名(SAN)のワイルドカードを複数のサブドメインに適用することを誤って許可するという問題に関連しています。

Kataの更新: Kataのセキュリティ修正がリリース1.7.3にバックポートされ、次のCVEが解決されました。

  • CVE-2020-2024。このCVEは、コンテナを分解する際の不適切なリンク解決脆弱性に関連しています。悪意のあるゲストがkata-runtimeをだまして、ホスト上のマウントポイントとその下にあるすべてのマウントポイントをアンマウントする可能性があり、その結果、ホストのサービス拒否が発生する可能性があります

  • CVE-2020-2025。このCVEは、ホスト上の基礎となるイメージ・ファイルに対する永続的なゲストファイル・システムの変更に関連しています。悪意のあるゲストがイメージ・ファイルを上書きして、後続のすべてのゲスト仮想マシンを制御できる可能性があります。

  • CVE-2020-2026。このCVEは、任意のホスト・パスへの信頼できないコンテナ・ファイル・システムのマウントに関連しています。コンテナの作成前に侵害された悪意のあるゲストが、kata-runtimeをだまして、信頼できないコンテナ・ファイル・システムを任意のホスト・パスにマウントさせ、ホストでのコード実行を可能にする可能性があります

このエラータ・リリースの更新の詳細は、更新およびアップグレードを参照してください。