UPDATE: DFN-CERT-2014-1547 Docker: Zwei Schwachstellen ermöglichen eine Privilegieneskalation [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2014-1547 Docker: Zwei Schwachstellen ermöglichen eine Privilegieneskalation [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (08.12.2014):
Für openSUSE 13.2 steht ein Sicherheitsupdate zur Verfügung.
Version 2 (27.11.2014):
Für die Distributionen Fedora 19 und Fedora 20 stehen Sicherheitsupdates
zur Verfügung.
Version 1 (26.11.2014):
Neues Advisory

Betroffene Software:

Docker <= 1.3.1 Betroffene Plattformen: openSUSE 13.2 Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 6 Zwei Schwachstellen in Docker ermöglichen einem lokalen, authentifizierten Angreifer die Umgehung von Sicherheitsvorkehrungen oder das Ausführen von beliebigem Programmcode und eine Privilegieneskalation. Patch: Fedora Security Update FEDORA-2014-15779 https://admin.fedoraproject.org/updates/FEDORA-2014-15779/docker-io-1.3.2-2.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-4281

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4281/docker-io-1.3.2-2.el6

Patch:

Fedora Security Update FEDORA-2014-15799

https://admin.fedoraproject.org/updates/FEDORA-2014-15799/docker-io-1.3.2-2.fc20

Patch:

Fedora Security Update FEDORA-2014-15848

https://admin.fedoraproject.org/updates/FEDORA-2014-15848/docker-io-1.3.2-2.fc19

Patch:

openSUSE Security Update: openSUSE-SU-2014:1596-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00040.html

CVE-2014-6408: Schwachstelle in Docker erlaubt das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Docker im Zusammenhang mit Sicherheitsoptionen eines
Images führt dazu, dass die Sicherheitsoptionen eines Docker-Image die
Default-Einstellungen des Laufzeitprofils des Containers überschreiben. Ein
lokaler, authentifizierter Angreifer kann durch ein präpariertes Image die
Sicherheitsvorgaben verändern.

CVE-2014-6407: Schwachstelle in Docker ermöglicht Privilegieneskalation

Eine Schwachstelle in Docker im Zusammenhang mit ‘Docker Load’ und ‘Docker
Pull’ Operationen führt dazu, das bei dem Entpacken eines Images Symlink-
und Hardlink-Traversierungen möglich sind. Ein lokaler, authentifizierter
Angreifer kann dadurch die Ausweitung von Benutzerrechten erreichen oder
beliebigen Programmcode zur Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1547/

Fedora Security Update FEDORA-2014-15779:
https://admin.fedoraproject.org/updates/FEDORA-2014-15779/docker-io-1.3.2-2.fc21

Fedora Security Update FEDORA-EPEL-2014-4281:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4281/docker-io-1.3.2-2.el6

Schwachstelle CVE-2014-6407 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6407

Schwachstelle CVE-2014-6408 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6408

Fedora Security Update FEDORA-2014-15799:
https://admin.fedoraproject.org/updates/FEDORA-2014-15799/docker-io-1.3.2-2.fc20

Fedora Security Update FEDORA-2014-15848:
https://admin.fedoraproject.org/updates/FEDORA-2014-15848/docker-io-1.3.2-2.fc19

openSUSE Security Update: openSUSE-SU-2014:1596-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00040.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben