The following pull request was submitted through Github. It can be accessed and reviewed at: https://github.com/lxc/linuxcontainers.org/pull/191
This e-mail was sent by the LXC bot, direct replies will not reach the author unless they happen to be subscribed to this list. === Description (from pull-request) ===
From 3f0f521d048a90316ec03c1dad5acf472ee183b7 Mon Sep 17 00:00:00 2001 From: KATOH Yasufumi <ka...@jazz.email.ne.jp> Date: Wed, 1 Jun 2016 16:02:11 +0900 Subject: [PATCH 1/2] Fix the link in English LXD 2.0.2 announcement Fix the link for CVE-2016-1582 Signed-off-by: KATOH Yasufumi <ka...@jazz.email.ne.jp> --- content/lxd/news.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/lxd/news.md b/content/lxd/news.md index c440d56..6ff8f45 100644 --- a/content/lxd/news.md +++ b/content/lxd/news.md @@ -49,7 +49,7 @@ The release tarballs can be found on our [download page](/lxd/downloads/). ### Commits * CVE-2016-1581: [https://github.com/lxc/lxd/commit/7e8afe809284da64277eb080b456ab24ea53b516](https://github.com/lxc/lxd/commit/7e8afe809284da64277eb080b456ab24ea53b516) - * CVE-2016-1582: [https://github.com/lxc/lxd/commit/f10e1bc47c1b385b396a35e540cb8cd9435783ea](https://github.com/lxc/lxd/commit/7e8afe809284da64277eb080b456ab24ea53b516) + * CVE-2016-1582: [https://github.com/lxc/lxd/commit/f10e1bc47c1b385b396a35e540cb8cd9435783ea](https://github.com/lxc/lxd/commit/f10e1bc47c1b385b396a35e540cb8cd9435783ea) ## LXD 2.0.1 release announcement <span class="text-muted">16th of May 2016</span> From 537be7013350b2a9dc619b741091bca145e3cf97 Mon Sep 17 00:00:00 2001 From: KATOH Yasufumi <ka...@jazz.email.ne.jp> Date: Wed, 1 Jun 2016 16:03:22 +0900 Subject: [PATCH 2/2] Add Japanese release announcement of LXD 2.0.2 Signed-off-by: KATOH Yasufumi <ka...@jazz.email.ne.jp> --- content/lxd/news.ja.md | 84 ++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 84 insertions(+) diff --git a/content/lxd/news.ja.md b/content/lxd/news.ja.md index 5b7d1d7..4592329 100644 --- a/content/lxd/news.ja.md +++ b/content/lxd/news.ja.md @@ -1,6 +1,90 @@  # News +## LXD 2.0.2 リリースのお知らせ <!-- LXD 2.0.2 release announcement --><span class="text-muted">2016 年 5 月 30 日<!--30th of May 2016 --></span> + +<!-- +This is the second bugfix release for LXD 2.0 and its first security update. +--> +このリリースは LXD 2.0 に対する 2 回目のバグフィックスリリースであり、最初の脆弱性対応のアップデートです。 + +## CVE-2016-1581 + +<!-- +Robie Basak noticed that after setting up a loop based ZFS pool through "lxd init" +the resulting file (/var/lib/lxd/zfs.img) was world readable. +--> +"lxd init" を使って loop ベースの ZFS プールを設定すると、出来上がったファイル (/var/lib/lxd/zfs.img) が、全ユーザに読み取り権限のあるファイルとなってしまうことについて、Robie Basak から報告を受けました。 + +<!-- +This would allow any user on the system, and a potential attacker to copy and +then read the data of any LXD container, regardless of file permissions inside the container. +--> +これにより、コンテナ内のファイルのパーミッションに関わらず、システム上の全ユーザがすべての LXD コンテナのデータをコピーして読むことができます。そして、攻撃者が同じことを行う可能性があります。 + +<!-- +LXD 2.0.2 fixes the "lxd init" logic to always set the mode of zfs.img to 0600. +--> +LXD 2.0.2 は "lxd init" のロジックを修正し、常に zfs.img のモードが 0600 に設定されるようにしました。 + +<!-- +Additionally a one-time upgrade step will trigger on first run and reset any existing +zfs.img mode to be 0600. +--> +加えて、アップグレード処理が LXD の最初の実行時に実行され、既存の zfs.img のモードを 0600 に設定します。 + +<!-- +If you manage an affected system and suspect an unauthorized user may have accessed +the zfs.img file, you should consider replacing any secret that was stored in the +affected containers (private keys and similar credentials). +--> +もし、影響を受けるシステムを管理しており、許可されていないユーザが zfs.img ファイルにアクセスしたことが疑われる場合は、対象のコンテナ内に格納されている機密情報 (秘密鍵や同等のクレデンシャル) を置き換えることを検討すべきです。 + +## CVE-2016-1582 + +<!-- +Robie Basak noticed that when switching an unprivileged container (default, security.privileged=false) +into privileged mode (by setting security.privileged to true), the container rootfs is properly +remapped but the container directory itself (/var/lib/lxd/containers/XYZ) remains at 0755. +--> +非特権コンテナ (デフォルトのモードです。security.privileged=false) を特権モードのコンテナ (security.privileged=true に設定されます) に切り替える際、コンテナの rootfs は適切に (ユーザ、グループの) 再マッピングが行われますが、コンテナディレクトリ自身 (/var/lib/lxd/containers/XYZ) はモードが 0755 のままとなることについて、Robie Basak から報告を受けました。 + +<!-- +This is a problem because it allows an unprivileged user on the host to access any world readable path +under /var/lib/lxd/containers/XYZ which may include setuid binaries. +--> +これにより、ホスト上の非特権ユーザすべてが /var/lib/lxd/containers/XYZ 以下の、setuid バイナリを含む全ユーザに読み取り権限のあるパスにアクセスできることになり、問題です。 + +<!-- +Such setuid binaries could then be used on the host to access otherwise unaccessible data +or to escalate one's privileges. +--> +このような setuid バイナリが、通常ではアクセスできないようなデータにアクセスしたり、自身の権限を昇格させたりする目的でホスト上で使われる可能性があります。 + +<!-- +LXD 2.0.2 fixes this behavior by making sure all privileged containers are always root-owned and have +their mode set to 0700 to prevent traversal by unprivileged users. +--> +LXD 2.0.2 は、すべての特権コンテナが常に確実に root 所有であるようにし、非特権ユーザによるトラバーサルを防ぐためにモードを 0700 に設定することで、このような動作を修正しました。 + +<!-- +Additionally a one-time upgrade step will trigger on first run and reset any existing privileged containers' +ownership and mode to root:root 0700 +--> +加えて、アップグレード処理が LXD の最初の実行時に実行され、既存の特権コンテナの所有権とモードを root:root 0700 に設定します。 + +### Downloads +<!-- +The release tarballs can be found on our [download page](/lxd/downloads/). +--> +このリリースの tarball は [ダウンロードページ](/lxd/downloads/) から取得できます。 + +### Commits + + * CVE-2016-1581: [https://github.com/lxc/lxd/commit/7e8afe809284da64277eb080b456ab24ea53b516](https://github.com/lxc/lxd/commit/7e8afe809284da64277eb080b456ab24ea53b516) + * CVE-2016-1582: [https://github.com/lxc/lxd/commit/f10e1bc47c1b385b396a35e540cb8cd9435783ea](https://github.com/lxc/lxd/commit/f10e1bc47c1b385b396a35e540cb8cd9435783ea) + + ## LXD 2.0.1 リリースのお知らせ <!-- LXD 2.0.1 release announcement --><span class="text-muted">2016 年 5 月 16 日<!-- 16th of May 2016 --></span> <!--
_______________________________________________ lxc-devel mailing list lxc-devel@lists.linuxcontainers.org http://lists.linuxcontainers.org/listinfo/lxc-devel
