Podman 5.7 добавляет полное шифрование TLS и mTLS для удалённых подключений
Podman, контейнерный движок с открытым исходным кодом, используемый для создания, запуска и управления контейнерами в Linux, macOS и Windows, выпустил последнее обновление — версию 5.7.
В этом выпуске рассматривается CVE-2025-52881 — критическая уязвимость, связанная с выходом за пределы контейнера и отказом в обслуживании, возникающая из-за произвольных гаджетов записи и перенаправления записи procfs. Эта уязвимость потенциально может позволить злоумышленникам выйти за пределы изоляции контейнера или нарушить работу хоста.
Новая ключевая функция этого выпуска — полная поддержка шифрования TLS и mTLS в удалённом клиенте Podman и сервисе API. Это означает, что соединения между клиентами и серверами теперь могут проходить аутентификацию и шифрование с помощью сертификатов, что обеспечивает безопасный канал для удалённого управления контейнерами.
Кроме того, команда podman system connection add была обновлена для создания соединений через зашифрованные TCP-сокеты, что ещё больше повышает безопасность связи.
Что касается интеграции с Kubernetes, то в Podman 5.7 теперь можно использовать podman kube play и podman kube down для работы с несколькими файлами YAML в рамках одной команды. Кроме того, пользователи теперь могут одновременно развертывать или удалять несколько модулей или развертываний.
Quadlet, мост Podman к systemd, получил впечатляющий набор улучшений. В версии 5.7 добавлена поддержка .artifact типов файлов, шаблонных зависимостей для томов и сетей, а также множество новых ключей конфигурации, в том числе:
HttpProxyдля отключения автоматической переадресации прокси,StopTimeoutдля управления завершением работы модулей иBuildArgиIgnoreFileдля более гибкой настройки сборки.
Кроме того, Quadlet теперь поддерживает несколько YAML-документов в .kube-файлах и представляет новый podman quadlet cat-псевдоним для упрощения проверки.
Также было улучшено управление артефактами. Такие команды, как podman artifact remove теперь принимают несколько аргументов и включают новые параметры, такие как --replace и --ignore, а в списках теперь отображается время создания артефактов и их виртуальный размер.
В Podman 5.7 также улучшена производительность: при загрузке или создании образов внутри виртуальных машин Podman Machine Podman теперь напрямую обращается к общим путям файловой системы, а не передаёт данные через API, что значительно повышает скорость.
Наконец, в преддверии выхода Podman 6.0 команда готовится отказаться от BoltDB. Начиная с версии 5.7, при использовании BoltDB будут отображаться видимые предупреждения, если не установлена переменная среды SUPPRESS_BOLTDB_WARNING=true . Пользователям рекомендуется выполнить миграцию как можно раньше, чтобы избежать сбоев в будущих версиях.
Для получения дополнительной информации см. журнал изменений.
Редактор: AndreyEx
Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.
