Обновление Docker 1.3.2 с устранением критических уязвимостей
Опубликовано 25 Ноябрь 2014 08:51:48
Представлен внеочередной выпуск cистемы управления контейнерной виртуализацией Docker 1.3.2, в котором устранены две уязвимости, статус которых отмечен как критически опасный:
Источник: http://www.opennet.ru/opennews/art.shtml?num=41124
- CVE-2014-6407 - возможность извлечения файлов из контейнера в произвольную часть ФС хост-системы при выполнении команд "docker pull" или "docker load". Уязвимость вызвана некорректной обработкой жестких и символических ссылок в коде извлечения данных из образа контейнера. При успешной организации атаки возможно инициирование выполнения кода на стороне хост-системы и повышение своих привилегий. Проблема проявляется во всех версиях Docker, до выпуска Docker 1.3.2, в который добавлены дополнительные проверки и задействовано chroot-окружение при извлечении данных.
- CVE-2014-6408 - создатель образов может обойти ограничения, заданные для выполнения изолированного контейнера. Проблема проявляется только в выпусках 1.3.0 и 1.3.1, и может привести к выходу за пределы контейнера. Причиной является предоставление создателю образа возможности привязки опций безопасности к образам, что может быть использовано для изменения профиля безопасности по умолчанию для контейнеров, построенных с использованием данных образов.
Источник: http://www.opennet.ru/opennews/art.shtml?num=41124
|
0 | Tweet | Нравится |
|