DFN-CERT-2014-1547 Docker: Zwei Schwachstellen ermöglichen eine Privilegieneskalation [Linux][Fedora]

DFN-CERT-2014-1547 Docker: Zwei Schwachstellen ermöglichen eine Privilegieneskalation [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Docker <= 1.3.1 Betroffene Plattformen: Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 6 Zwei Schwachstellen in Docker ermöglichen einem lokalen, authentifizierten Angreifer die Umgehung von Sicherheitsvorkehrungen oder das Ausführen von beliebigem Programmcode und eine Privilegieneskalation. Patch: Fedora Security Update FEDORA-2014-15779 https://admin.fedoraproject.org/updates/FEDORA-2014-15779/docker-io-1.3.2-2.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-4281

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4281/docker-io-1.3.2-2.el6

CVE-2014-6408: Schwachstelle in Docker erlaubt das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Docker im Zusammenhang mit Sicherheitsoptionen eines
Images führt dazu, dass die Sicherheitsoptionen eines Docker-Image die
Default-Einstellungen des Laufzeitprofils des Containers überschreiben. Ein
lokaler, authentifizierter Angreifer kann durch ein präpariertes Image die
Sicherheitsvorgaben verändern.

CVE-2014-6407: Schwachstelle in Docker ermöglicht Privilegieneskalation

Eine Schwachstelle in Docker im Zusammenhang mit ‘Docker Load’ und ‘Docker
Pull’ Operationen führt dazu, das bei dem Entpacken eines Images Symlink-
und Hardlink-Traversierungen möglich sind. Ein lokaler, authentifizierter
Angreifer kann dadurch die Ausweitung von Benutzerrechten erreichen oder
beliebigen Programmcode zur Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1547/

Fedora Security Update FEDORA-2014-15779:
https://admin.fedoraproject.org/updates/FEDORA-2014-15779/docker-io-1.3.2-2.fc21

Fedora Security Update FEDORA-EPEL-2014-4281:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4281/docker-io-1.3.2-2.el6

Schwachstelle CVE-2014-6407 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6407

Schwachstelle CVE-2014-6408 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6408

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben