2019-0342: Docker: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-02-18 12:17)

Neues Advisory

Version 2 (2019-02-19 17:35)

Für Oracle Linux 7 (x86_64) steht ein weiteres Sicherheitsupdate zur Behebung der beiden Schwachstellen in 'docker-engine' auf Basis von Version 18.03.1 bereit.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc ausnutzen, um beliebige Kommandos mit den Rechten von 'root' auf dem Host-Dateisystem auszuführen. Ein entfernter, nicht authentisierter Angreifer kann eine weitere Schwachstelle in Golang ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen und möglicherweise sensitives Schlüsselmaterial auszuspähen.

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate bereit, welches diese Schwachstellen im Paket 'docker-engine' adressiert.

Schwachstellen:

CVE-2019-5736

Schwachstelle in runc ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-6486

Schwachstelle in Golang ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.