Security Lab

Множественные уязвимости в Docker

Дата публикации:25.11.2014
Дата изменения:28.11.2014
Всего просмотров:1851
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:2
CVSSv2 рейтинг: 7.2 (AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
7.2 (AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
CVE ID: CVE-2014-6407
CVE-2014-6408
Вектор эксплуатации: Локальная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Docker 1.x
Уязвимые версии: Docker версии 1.3.0
Docker версии 1.3.1
Описание: Уязвимость позволяет локальному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке символических и жестких ссылок в движке Docker. Локальный пользователь может при исполнении команд docker load или docker pull извлекать файлы из контейнера в произвольную часть файловой системы хост-машины.

2. Уязвимость существует из-за того, что создатель может присваивать образам собственные параметры безопасности. Локальный пользователь может модифицировать профиль безопасности по умолчанию для контейнеров на основе подобных образов и выйти за его пределы изолированного контейнера.

URL производителя: https://docs.docker.com/installation/
Решение: Установите последнюю версию 1.3.2 с сайта производителя.
Ссылки: http://www.openwall.com/lists/oss-security/2014/11/24/5
Журнал изменений: a:2:{s:4:"TEXT";s:58:"28.11.14: Незначительные изменения в описании уязвимости. ";s:4:"TYPE";s:4:"html";}