Podman Sicherheitsproblem

Heute veröffentlichen wir Updates zur Behebung von CVE-2020-14370, einem Sicherheitsproblem in Podman. Dies ist eine mittelgradige Informationspreisgabe-Schwachstelle, die Container betrifft, die mit Podmans Varlink API oder der Docker-kompatiblen Version seiner REST API erstellt wurden. Wenn zwei oder mehr Container mit diesen APIs erstellt werden und der erste Container beim Erstellen Umgebungsvariablen hinzugefügt bekommen hat, werden alle nachfolgenden Container, die mit den Varlink- oder Docker-kompatiblen REST APIs erstellt werden, ebenfalls diese Umgebungsvariablen hinzugefügt bekommen. Dieser Effekt besteht nicht nach einem Neustart des Podman API-Services fort.

Podman v2.0.5 und höher enthalten eine Behebung für die CVE. Wenn Sie eine dieser APIs verwenden, aktualisieren Sie bitte auf Podman v2.0.5 oder später. Wir werden auch das Langzeit-Support v1.6.4 Release patchen, das in RHEL und CentOS verwendet wird.

Fedora 31 and Control Group v2

By Dan Walsh GitHub​

Dan Walsh has another blog post on the Red Hat Enable Sysadmin site this time about Fedora 31 and Control Group v2. In the post Dan talks about the new version of control groups that is part of the Fedora 31 release and how it makes containers even more secure.

Building freely distributed containers with open tools

By Tom Sweeney GitHub​

Scott McCarty (@fatherlinux) has an amazing video on YouTube about Building freely distributed containers with open tools. As only Scott could say "Although explaining how to ride a Tron-style light cycle is beyond the scope of this tutorial, we will discuss something almost as exhilarating—building containers with #Podman and #RedHat Universal Base Image (UBI). We will cover how to build and run #containers based on #UBI using just your regular user account—no daemon, no root (rootless), no fuss. Finally, we will order the deresolution of all of our containers with a really cool command. You probably won’t be promoted to CEO of ENCOM after this talk, but you will have new tools in your toolbelt for how to find, run, build, and share container images."

Basic security principles for containers and container runtimes

By Brent Baude GitHub​

Brent Baude has another blog post on the Red Hat Enable Sysadmin site this time about Basic security principles for containers and container runtimes. In the post Brent talks about the three core security themes concerning containers and why user privileges matter in the space.

Generate SECCOMP Profiles for Containers Using Podman and eBPF

By Valentin Rothberg GitHub​

Containers run everywhere. They run in the cloud, they run on IoT devices, they run in small and in big companies and wherever they run, we want them to run as securely as possible. In this article, I describe the Google Summer of Code project that Divyansh Kamboj, Dan Walsh and I have been working on and how we improved the state of the art in securing containers, and how you can try it out.