DFN-CERT-2015-0293 Docker: Zwei Schwachstellen ermöglichen die Manipulation von Dateien [Linux][RedHat]

DFN-CERT-2015-0293 Docker: Zwei Schwachstellen ermöglichen die Manipulation von Dateien [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Docker <= 1.3.2 Docker <= 1.4.0 Betroffene Plattformen: Red Hat Enterprise Linux 7 Zwei Schwachstellen in Docker ermöglichen einem nicht authentifizierten Angreifer im benachbarten Netzwerk beliebigen Programmcode mit den Rechten des Dienstes auszuführen oder einem entfernten, nicht authentifizierten Angreifer die Manipulation von Dateien. Docker wird von Red Hat als Paket in dem Extras Kanal von Red Hat Enterprise Linux zur Verfügung gestellt. Patch: Red Hat Security Advisory RHSA-2015:0623 http://rhn.redhat.com/errata/RHSA-2015-0623.html

CVE-2014-9357: Schwachstelle in Docker ermöglicht das Ausführen von
beliebigem Programmcode mit Administrationsrechten

Eine Schwachstelle in Docker in Version 1.3.2 führt dazu, dass präparierte
Docker Images oder Builds beliebigen Programmcode mit Root Rechten auf dem
Host System ausführen können. Ursache dafür ist die in der Version
eingeführte chroot Funktionalität. Ein entfernter, nicht authentifizierter
Angreifer kann beliebigen Programmcode ausführen.

CVE-2014-9356: Schwachstelle in Docker ermöglicht das Manipulieren von
Dateien

Eine Schwachstelle in Docker führt dazu, dass nur symbolische Links, die
relative Pfade enthalten, geprüft werden, absolute Pfade hingegen werden
nicht geprüft. Ein manipuliertes Image oder ein präpariertes Archive kann
beliebige Dateien auf dem Host auch außerhalb eines Containers schreiben.
Ein entfernter, nicht authentifizierter Angreifer kann Dateien manipulieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0293/

Schwachstelle CVE-2014-9356 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9356

Schwachstelle CVE-2014-9357 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9357

Red Hat Security Advisory RHSA-2015:0623:
http://rhn.redhat.com/errata/RHSA-2015-0623.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben