Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 12 (20.02.23):
Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für ‘golang-github-
opencontainers-selinux’ in Version
1.0.0~rc1+git20170621.5.4a2974b-1+deb10u1 bereit, um die Schwachstelle zu
adressieren.
Version 11 (14.04.20):
Für die Red Hat Enterprise Linux 7 Produkte Workstation und Server stehen
Bug Fix Updates zur Verfügung. In der entsprechenden Meldung wird auch die
hier aufgeführte Schwachstelle referenziert.
Version 10 (14.01.20):
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’ und ‘golang-github-docker-libnetwork’ zur Behebung
dieser Schwachstelle und fünf weiterer, nicht sicherheitsrelevanter Fehler
bereit.
Version 9 (10.01.20):
Für SUSE Linux Enterprise Module for Containers 12 und SUSE Container-as-
a-Service (CaaS) Platform 3.0 stehen Sicherheitsupdates für ‘containerd’,
‘docker’, ‘docker-runc’ und ‘golang-github-docker-libnetwork’ bereit, mit
denen die Schwachstelle und fünf weitere, nicht sicherheitsrelevante
Fehler adressiert werden.
Version 8 (08.01.20):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
und SUSE Linux Enterprise Module for Containers jeweils in den Version 15
und 15 SP1 stehen Sicherheitsupdates für ‘containerd’, ‘docker’, ‘docker-
runc’ und ‘golang-github-docker-libnetwork’ bereit, mit denen die
Schwachstelle und fünf weitere, nicht sicherheitsrelevante Fehler
adressiert werden.
Version 7 (04.12.19):
Für Red Hat Enterprise Linux 8 steht ein Sicherheitsupdate bereit, welches
das ‘runC’ Container Image für Red Hat OpenShift Container Platform 4.2.9
zur Behebung der Schwachstelle beinhaltet.
Version 6 (21.11.19):
Für Red Hat Enterprise Linux 8 steht ein Sicherheitsupdate bereit, welches
das ‘runC’ Container Image für Red Hat OpenShift Container Platform 4.1.24
zur Behebung der Schwachstelle beinhaltet.
Version 5 (06.11.19):
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle zu beheben.
Version 4 (01.11.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate bereit, mit dem die
Schwachstelle in ‘docker-runc’ behoben wird.
Version 3 (30.10.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 SP1 und SUSE Linux Enterprise Module for Containers 15 SP1 stehen nun
auch Sicherheitsupdates für ‘runc’ bereit, mit denen die Schwachstelle
adressiert wird.
Version 2 (28.10.19):
Für die SUSE Linux Enterprise Module for Containers 12, 15 und 15 SP1 und
for Open Buildservice Development Tools 15 SP1 sowie für SUSE Container-
as-a-Service (CaaS) Platform 3.0 stehen Sicherheitsupdates für ‘docker-
runc’ zur Behebung der Schwachstelle bereit.
Version 1 (09.10.19):
Neues Advisory
Ein Angreifer mit niedrigen Privilegien kann die Schwachstelle lokal
ausnutzen, um Sicherheitsvorkehrungen zu umgehen. Ein erfolgreicher Angriff
kann Einfluss auf andere Komponenten haben.
Für Fedora 29, 30 und 31 stehen Sicherheitsupdates in Form der Pakete
‘runc-1.0.0-95.rc9.gitc1485a1.fc29’, ‘runc-1.0.0-95.rc9.gitc1485a1.fc30’ und
‘runc-1.0.0-101.rc9.gitc1485a1.fc31’ im Status ‘testing’ bzw. ‘stable’ zur
Verfügung.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-2085]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
