2018-1325: Docker, libpod: Eine Schwachstelle ermöglicht die Manipulation von Hardwareeinstellungen

Historie:

Version 1 (2018-07-11 12:36)

Neues Advisory

Version 2 (2018-07-16 12:37)

Fedora stellt für Fedora 27 und 28 die Pakete 'podman-0.7.2-1.git4ca4c5f.fc27' sowie 'podman-0.7.2-2.git4ca4c5f.fc28' im Status 'testing' zur Behebung der Schwachstelle zur Verfügung. Die Software wird damit auf Version 0.7.2 aktualisiert.

Version 3 (2018-08-08 11:25)

Für Fedora 28 steht ein Sicherheitsupdate in Form des Paketes 'cri-o-1.11.1-1.git1759204.fc28' zur Behebung der Schwachstelle im Status 'testing' bereit.

Version 4 (2018-08-17 11:48)

Für Red Hat Enterprise Linux Server 7 steht ein Sicherheitsupdate für Docker zur Verfügung, um die Schwachstelle zu beheben.

Version 5 (2019-01-21 14:27)

Das aktuelle Sicherheitsupdate FEDORA-2019-723711c645 (Fedora 28, docker-latest-1.13.1-40.git1185cfd.fc28) im Status 'testing' zur Behebung der Schwachstelle CVE-2018-20699 ersetzt das frühere Sicherheitsupdate FEDORA-2018-28e9841baf (Fedora 28, docker-latest-1.13.1-37.git9cb56fd.fc28), welches sich inzwischen im Status 'obsolete' befindet und deshalb hier entfernt wurde, und behebt damit auch die Schwachstelle CVE-2018-10892.

Version 6 (2019-09-20 14:42)

Red Hat veröffentlicht das Red Hat Bug Fix Advisory RHBA-2018:2796 mit dem über die Bereitstellung eines aktualisierten 'podman' Paketes für Red Hat Enterprise Linux 7 Extras informiert wird. In der Meldung wird die referenzierte Schwachstelle aufgeführt, die Korrektur aber als Fehlerbehebung eingestuft und nicht als Behebung einer ausnutzbaren Schwachstelle.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle Docker ausnutzen, um Einstellungen für die Hardware des Host-Systems zu verändern, wie z. B. Bluetooth aktivieren bzw. deaktivieren oder die Helligkeit der Tastatur zu verändern.

Fedora stellt für Fedora 27 und 28 die Pakete 'docker-1.13.1-60.git9cb56fd.fc27', 'docker-latest-1.13.1-37.git9cb56fd.fc27', 'docker-1.13.1-60.git9cb56fd.fc28' sowie 'docker-latest-1.13.1-37.git9cb56fd.fc28' als Sicherheitsupdates im Status 'testing' zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2018-10892

Schwachstelle in Docker ermöglicht Manipulation von Hardwareeinstellungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.