Множественные уязвимости в Docker

Дата публикации:
24.12.2014
Дата изменения:
24.12.2014
Всего просмотров:
794
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
3
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
CVE ID:
CVE-2014-9356
CVE-2014-9357
CVE-2014-9358
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Docker 1.x
Уязвимые версии:
Docker 1.3.2 и более ранние версии

Описание:

Уязвимости позволяют удаленному пользователю обойти ограничения безопасности, а также неавторизованно изменить данные.

1) Уязвимость существует из-за ошибки при обработке образов и их монтировании. Удаленный пользователь может неавторизованно изменить данные.

2) Уязвимость существует из-за недостаточной проверки идентификаторов образов во время выполнения операции "docker load" или соединения с реестром. Удаленный пользователь может неавторизованно изменить данные с помощью обхода каталога.

3) Уязвимость существует из-за ошибки при обработке архивов xz. Удаленный пользователь может выполнить произвольный код с root-привилегиями.

Примечание: Уязвимость №3 существует исключительно в версии 1.3.2.


URL производителя: http://www.docker.com/

Решение: Установите исправление с сайта производителя.

Ссылки: https://docs.docker.com/release-notes/
http://seclists.org/bugtraq/2014/Dec/76