Множественные уязвимости в Docker

Дата публикации:
25.11.2014
Дата изменения:
28.11.2014
Всего просмотров:
1339
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:7.2/Temporal:5.3
CVE ID:
CVE-2014-6407
CVE-2014-6408
Вектор эксплуатации:
Локальная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Docker 1.x
Уязвимые версии:
Docker версии 1.3.0
Docker версии 1.3.1

Описание: Уязвимость позволяет локальному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке символических и жестких ссылок в движке Docker. Локальный пользователь может при исполнении команд docker load или docker pull извлекать файлы из контейнера в произвольную часть файловой системы хост-машины.

2. Уязвимость существует из-за того, что создатель может присваивать образам собственные параметры безопасности. Локальный пользователь может модифицировать профиль безопасности по умолчанию для контейнеров на основе подобных образов и выйти за его пределы изолированного контейнера.


URL производителя: https://docs.docker.com/installation/

Решение: Установите последнюю версию 1.3.2 с сайта производителя.

Ссылки: http://www.openwall.com/lists/oss-security/2014/11/24/5
Журнал изменений: 28.11.14: Незначительные изменения в описании уязвимости.