2014-1660: Docker: Mehrere Schwachstellen ermöglichen verschiedene Angriffe

Historie:

Version 1 (2014-12-15 17:36)

Neues Advisory

Version 2 (2014-12-17 13:18)

Für die Distribution Fedora EPEL 6 steht ein neueres Sicherheitsupdate zur Verfügung.

Version 3 (2014-12-28 20:49)

Für die Distribution openSUSE 13.2 steht ein Sicherheitsupdate zur Verfügung, welches die Schwachstellen CVE-2014-6407 und CVE-2014-6408 allerdings nicht adressiert.

Version 4 (2015-01-08 11:00)

Für Fedora EPEL 6 steht ein neues Sicherheitsupdate zur Behebung der Schwachstellen CVE-2014-9356, CVE-2014-9357 und CVE-2014-9358 im Status 'testing' zur Verfügung. Die zuvor erstellten Updates für EPEL 6 FEDORA-EPEL-2014-4663 und FEDORA-EPEL-2014-4737 wurden in den Status 'obsolet' überführt.

Version 5 (2015-01-09 15:39)

Für Fedora 20 steht ein neues Sicherheitsupdate in Form des Paketes docker-io-1.4.1-4.fc20 (im Status "testing") zur Behebung der Schwachstellen CVE-2014-9356, CVE-2014-9357 und CVE-2014-9358 zur Verfügung. Das zuvor erstellte Update FEDORA-2014-16869 wurde in den Status "obsolet" überführt.

Version 6 (2015-01-19 11:20)

Für Fedora EPEL 6 steht ein neues Sicherheitsupdate in Form des Paketes docker-io-1.4.1-3.el6 (im Status "testing") zur Behebung der Schwachstellen CVE-2014-9356, CVE-2014-9357 und CVE-2014-9358 zur Verfügung. Das zuvor erstellte Update FEDORA-EPEL-2015-0151 wurde in den Status "obsolet" gesetzt.

Version 7 (2015-01-23 17:11)

Für SUSE Linux Enterprise Server 12 steht ein Sicherheitsupdate auf die Docker Version 1.4.1 bereit.

Version 8 (2015-01-26 15:08)

Für die Distribution Fedora 20 steht ein neues Sicherheitsupdate in Form des Paketes docker-io-1.4.1-6.fc20 im Status 'stable' bereit, das die Schwachstellen CVE-2014-9356, CVE-2014-9357 und CVE-2014-9358 adressiert. Das zuvor erstellte Update FEDORA-2015-0451 wurde in den Status 'obsolet' überführt.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Docker erlauben verschiedene Angriffe. Ein lokaler, authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen, seine Benutzerrechte ausweiten und beliebigen Programmcode zur Ausführung bringen. Der letztgenannte Angriff ist auch einem entfernten, nicht authentisierten Angreifer möglich, wie auch die Darstellung falscher Informationen und das Manipulieren von Dateien.

Schwachstellen:

CVE-2014-6407

Schwachstelle in Docker ermöglicht Privilegieneskalation

CVE-2014-6408

Schwachstelle in Docker erlaubt das Umgehen von Sicherheitsvorkehrungen

CVE-2014-9356

Schwachstelle in Docker ermöglicht das Manipulieren von Dateien

CVE-2014-9357

Schwachstelle in Docker ermöglicht das Ausführen von beliebigem Programmcode mit Administrationsrechten

CVE-2014-9358

Schwachstelle in Docker ermöglicht das Darstellen von falschen Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.