DFN-CERT

Advisory-Archiv

2020-1207: Docker Engine, Moby: Eine Schwachstelle ermöglicht u. a. das Ausspähen von Informationen

Historie:

Version 1 (2020-06-12 09:29)
Neues Advisory
Version 2 (2020-06-15 11:58)
Für Oracle Linux 7 steht ein Sicherheitsupdate für 'docker-engine' zur Behebung der Schwachstelle zur Verfügung.
Version 3 (2020-06-19 12:41)
Für SUSE Linux Enterprise Module for Containers 12 und SUSE Linux Enterprise Module for Containers 15 SP1 stehen Sicherheitsupdates der Pakete 'containerd', 'docker', 'docker-runc' und 'golang-github-docker-libnetwork' bereit, um die Schwachstelle zu beheben.
Version 4 (2020-06-23 10:56)
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'containerd', 'docker', 'docker-runc' und 'golang-github-docker-libnetwork' bereit, um die Schwachstelle zu beheben.
Version 5 (2020-06-24 12:05)
Oracle stellt erneut ein Sicherheitsupdate für Oracle Linux 7 (x86_64) in Form aktualisierter ' docker-cli'- und 'docker-engine'-Pakete zur Behebung der Schwachstelle bereit.
Version 6 (2020-07-03 18:13)
Debian stellt für die stabile Distribution Buster ein Sicherheitsupdate für 'docker.io' zur Behebung der Schwachstelle bereit.
Version 7 (2020-07-16 11:10)
SUSE veröffentlicht für SUSE Linux Enterprise Module for Containers 15 SP2 aktualisierte 'containerd'-, 'docker'-, 'docker-runc'- und 'golang-github-docker-libnetwork'-Pakete zur Behebung der Schwachstelle. Dabei wird Docker auf die Version 19.03.11-ce, runc auf die Version 1.0.0-rc10 und containerd auf die Version 1.2.13 aktualisiert.
Version 8 (2020-09-15 10:49)
IBM informiert über die Schwachstelle in Docker und stellt zu deren Behebung ein Update auf IBM Spectrum Protect Plus Version 10.1.6 Interim Fix 4 zur Verfügung.

Betroffene Software

Datensicherung
Entwicklung
Netzwerk
Server
Virtualisierung

Betroffene Plattformen

Linux
Oracle
Hypervisor

Beschreibung:

Ein entfernter Angreifer mit üblichen Benutzerrechten kann Informationen ausspähen und einen Denial-of-Service (DoS)-Zustand herbeiführen. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben.

Für Fedora 31 und 32 stehen auf Version 19.03.11 aktualisierte 'moby-engine'-Pakete im Status 'testing' bereit, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2020-13401

Schwachstelle in Docker Engine ermöglicht u. a. Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.