UPDATE: DFN-CERT-2014-1660 Docker: Mehrere Schwachstellen ermöglichen verschiedene Angriffe [Linux][Fedora]

UPDATE: DFN-CERT-2014-1660 Docker: Mehrere Schwachstellen ermöglichen verschiedene Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (17.12.2014):
Für die Distribution Fedora EPEL 6 steht ein neueres Sicherheitsupdate zur
Verfügung.
Version 1 (15.12.2014):
Neues Advisory

Betroffene Software:

Docker <= 1.3.2 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 6 Mehrere Schwachstellen in Docker erlauben verschiedene Angriffe. Ein lokaler, authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen, seine Benutzerrechte ausweiten und beliebigen Programmcode zur Ausführung bringen. Der letztgenannte Angriff ist auch einem entfernten, nicht authentisierten Angreifer möglich, wie auch die Darstellung falscher Informationen und das Manipulieren von Dateien. Patch: Fedora Security Update FEDORA-2014-16839 https://admin.fedoraproject.org/updates/FEDORA-2014-16839/docker-io-1.4.0-1.fc21

Patch:

Fedora Security Update FEDORA-2014-16869

https://admin.fedoraproject.org/updates/FEDORA-2014-16869/docker-io-1.4.0-1.fc20

Patch:

Fedora Security Update FEDORA-EPEL-2014-4663

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4663/docker-io-1.4.0-1.el6

Patch:

Fedora Security Update FEDORA-2014-16865

https://admin.fedoraproject.org/updates/FEDORA-2014-16865/docker-io-1.4.0-1.fc19

Patch:

Fedora EPEL Security Update FEDORA-EPEL-2014-4737

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4737/docker-io-1.4.0-2.el6

CVE-2014-9358: Schwachstelle in Docker ermöglicht das Darstellen von
falschen Informationen

Eine Schwachstelle in Docker führt dazu, dass die Abbild-IDs (Image IDs)
nicht korrekt geprüft werden, wenn diese durch ‘docker load’ oder per
Registry Kommunikation zur Verfügung gestellt werden. Dadurch sind Pfad
Traversierungen oder die Vortäuschung von Depots (repository) möglich. Ein
entfernter, nicht authentifizierter Angreifer kann falsche Informationen
darstellen.

CVE-2014-9357: Schwachstelle in Docker ermöglicht das Ausführen von
beliebigem Programmcode mit Administrationsrechten

Eine Schwachstelle in Docker in Version 1.3.2 führt dazu, dass präparierte
Docker Images oder Builds beliebigen Programmcode mit Root Rechten auf dem
Host System ausführen können. Ursache dafür ist die in der Version
eingeführte chroot Funktionalität. Ein entfernter, nicht authentifizierter
Angreifer kann beliebigen Programmcode ausführen.

CVE-2014-9356: Schwachstelle in Docker ermöglicht das Manipulieren von
Dateien

Eine Schwachstelle in Docker führt dazu, dass nur symbolische Links, die
relative Pfade enthalten, geprüft werden, absolute Pfade hingegen werden
nicht geprüft. Ein manipuliertes Image oder ein präpariertes Archive kann
beliebige Dateien auf dem Host auch außerhalb eines Containers schreiben.
Ein entfernter, nicht authentifizierter Angreifer kann Dateien manipulieren.

CVE-2014-6408: Schwachstelle in Docker erlaubt das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Docker im Zusammenhang mit Sicherheitsoptionen eines
Images führt dazu, dass die Sicherheitsoptionen eines Docker-Image die
Default-Einstellungen des Laufzeitprofils des Containers überschreiben. Ein
lokaler, authentifizierter Angreifer kann durch ein präpariertes Image die
Sicherheitsvorgaben verändern.

CVE-2014-6407: Schwachstelle in Docker ermöglicht Privilegieneskalation

Eine Schwachstelle in Docker in den Operationen ‘Docker Load’ und ‘Docker
Pull’ führt dazu, das bei dem Entpacken eines Images Symlink- und
Hardlink-Traversierungen möglich sind. Ein lokaler, authentifizierter
Angreifer kann dadurch die Ausweitung von Benutzerrechten erreichen oder
beliebigen Programmcode zur Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1660/

Schwachstelle CVE-2014-6407 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6407

Schwachstelle CVE-2014-6408 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6408

Schwachstelle CVE-2014-9358 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9358

Fedora Security Update FEDORA-2014-16839:
https://admin.fedoraproject.org/updates/FEDORA-2014-16839/docker-io-1.4.0-1.fc21

Fedora Security Update FEDORA-2014-16869:
https://admin.fedoraproject.org/updates/FEDORA-2014-16869/docker-io-1.4.0-1.fc20

Fedora Security Update FEDORA-EPEL-2014-4663:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4663/docker-io-1.4.0-1.el6

Schwachstelle CVE-2014-9356 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9356

Schwachstelle CVE-2014-9357 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9357

Fedora Security Update FEDORA-2014-16865:
https://admin.fedoraproject.org/updates/FEDORA-2014-16865/docker-io-1.4.0-1.fc19

Fedora EPEL Security Update FEDORA-EPEL-2014-4737:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4737/docker-io-1.4.0-2.el6

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben