Podman, контейнерный движок с открытым исходным кодом, используемый для создания, запуска и управления контейнерами на Linux, MacOS и Windows, выпустил свое последнее обновление, версию 5.7.
В этом выпуске устранена CVE-2025-52881, критическая уязвимость выхода из контейнера и отказа в обслуживании, связанная с произвольной записью и перенаправлениями записи procfs. Потенциально уязвимость может позволить вредоносным контейнерам нарушить изоляцию или нарушить работу хоста.
Новая ключевая функция в этом выпуске – полная поддержка шифрования TLS и mTLS в удаленном клиенте Podman и службе API. Это означает, что соединения между клиентами и серверами теперь могут аутентифицироваться и шифроваться с помощью сертификатов, обеспечивая безопасный канал для удаленного управления контейнерами.
Кроме того, команда podman system connection add была обновлена для создания соединений через зашифрованные TCP-сокеты, что еще больше повышает Безопасность сети.
Что касается интеграции с Kubernetes, Podman 5.7 теперь позволяет podman kube play и podman kube down принимать несколько YAML-файлов в одной команде. Кроме того, теперь пользователи могут одновременно развертывать или сворачивать несколько блоков.
Quadlet, мост Podmans к systemd, получил впечатляющий набор улучшений. В версии 5.7 появилась поддержка .artifact типов файлов, шаблонных зависимостей для томов и сетей, а также множество новых ключей конфигурации, включая:
HttpProxyдля отключения автоматической переадресации прокси,StopTimeoutдля управления отключениями стручков, иBuildArgиIgnoreFileдля более гибкой работы со сборками.
Кроме того, Quadlet теперь поддерживает несколько YAML-документов в файлах .kube и вводит новый псевдоним podman quadlet cat для упрощения проверки.
Также было улучшено управление артефактами. Команды типа podman artifact remove теперь принимают несколько аргументов и включают новые опции, такие как --replace и --ignore, а листинги теперь показывают время создания артефактов и их виртуальные размеры.
В Podman 5.7 также реализовано более разумное поведение в плане производительности: при загрузке или сборке образов внутри виртуальных машин Podman Machine теперь напрямую обращается к общим путям к файловой системе, а не передает данные через API, что заметно повышает скорость работы.
Наконец, с выходом Podman 6.0 команда готовится к отказу от BoltDB. Начиная с версии 5.7, установки, использующие BoltDB, будут отображать видимые предупреждения, если не установлена переменная окружения SUPPRESS_BOLTDB_WARNING=true. Пользователям рекомендуется перейти на новую версию как можно раньше, чтобы избежать сбоев в работе будущих версий.
Для получения дополнительной информации смотрите журнал изменений.