2021-0920: Docker, containerd, runc: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2021-05-03 12:11)

Neues Advisory

Betroffene Software

Netzwerk
Virtualisierung

Betroffene Plattformen

Linux
Hypervisor

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode u. a. mit den Rechten des betroffenen Dienstes auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um Dateien zu manipulieren. Mehrere weitere Schwachstellen können lokal ausgenutzt werden, um Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode mit den Rechten des Administrators auszuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere der Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Für SUSE Linux Enterprise Module for Containers 12 stehen Sicherheitsupdates für 'containerd', 'docker' und 'runc' bereit, um die Schwachstellen und 23 weitere, nicht sicherheitsrelevante Fehler zu beheben.

Schwachstellen:

CVE-2018-16873

Schwachstelle in Google Go (golang) ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-16874

Schwachstelle in Google Go (golang) ermöglicht Manipulation von Dateien und Ausführung beliebigen Programmcodes

CVE-2018-16875

Schwachstelle in Google Go (golang) ermöglicht Denial-of-Service-Angriff

CVE-2019-16884

Schwachstelle in runc ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-19921

Schwachstelle in runc ermöglicht Privilegieneskalation

CVE-2019-5736

Schwachstelle in runc ermöglicht Ausführung beliebigen Programmcodes

CVE-2021-21284

Schwachstelle in Docker ermöglicht u. a. Manipulation von Dateien

CVE-2021-21285

Schwachstelle in Docker ermöglicht Denial-of-Service-Angriff

CVE-2021-21334

Schwachstelle in containerd ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.