5.17. コンテナー

/etc/containers/registries.conf のデフォルトのレジストリー検索リストが更新されました。

/etc/containers/registries.conf の デフォルトの registries.search リストが更新され、Red Hat およびそのパートナーがキュレート、パッチ修正、保守を行うコンテナーイメージを提供する信頼できるレジストリーだけが追加されています。

Red Hat は、以下を含む完全修飾イメージ名を常に使用することを推奨します。

  • レジストリーサーバー (完全 DNS 名)
  • 名前空間
  • イメージ名
  • タグ (例: registry.redhat.io/ubi8/ubu:latest)

略称名を使用する場合には、レジストリーから foobar という名前のイメージをプルして、myregistry.com から取得していると想定するなど、なりすましの固有リスクが常に存在します。myregistry.com が検索リストの最初にない場合には、攻撃者は検索リストの前のほうに別の foobar イメージを配置することができてしまいます。目的のコンテンツではなく、攻撃者が配置したイメージやコードを間違ってぷるして実行する可能性があります。Red Hat は、不明なユーザーや匿名ユーザーが任意の名前でアカウントを作成できないように、信頼できるレジストリーだけを追加することを推奨します。これにより、イメージがなりすましやスクワッティングに使用されたり、または別の方法でセキュリティーを低下されないようにします。

(BZ#1810053)

Podman は oci-systemd-hook に依存しなくなりました。

Podman は、container-tools:rhel8 および container-tools:2.0 モジュールストリームから削除済みの oci-systemd-hook パッケージを必要としない、または依存しなくなりました。

(BZ#1645280)


このページには機械翻訳が使用されている場合があります (詳細はこちら)。