Összefoglaló
A Docker sérülékenysége vált ismertté.
Leírás
A Docker több olyan biztonsági rést is tartalmaz, amelyek adatmanipulációkra adhatnak módot. A sebezhetőségek biztonsági megkötések megkerülését is elősegíthetik.
Az egyik hiba a képállományok kezelésére és a kötetetek esetenkénti hibás felcsatolására vezethető vissza, ami symlink típusú támadásokra adhat lehetőséget.
A második sérülékenységet az Image ID-k nem kellő mértékű ellenőrzése okozza (a docker load művelet során). A hiba directory traversal alapú károkozásokat segíthet elő.
Végül a harmadik rendellenesség az xz fájlok hibás kezelésére vezethető vissza, amely jogosultsági szint emelést biztosíthat a támadók számára.
Megoldás
A Docker 1.3.3-as vagy ennél újabb verzióinak használata.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Gyártói referencia: docs.docker.com
CVE-2014-9356 - NVD CVE-2014-9356
CVE-2014-9357 - NVD CVE-2014-9357
CVE-2014-9358 - NVD CVE-2014-9358