2021-2121: containerd, docker, runc: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien
Historie:
- Version 1 (2021-10-12 19:09)
- Neues Advisory
- Version 2 (2021-10-26 08:40)
- Für die Distribution openSUSE Leap 15.3, für SUSE für MicroOS 5.0 und 5.1, SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise Module for Containers 15 SP2 und 15 SP3, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, SUSE Enterprise Storage 6 und 7 sowie SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'containerd', 'docker' und 'runc' bereit, um die referenzierten Schwachstellen und vier weitere, nicht sicherheitsrelevante Fehler zu beheben.
- Version 3 (2021-11-01 10:58)
- Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'containerd', 'docker' und 'runc' bereit, um die referenzierten Schwachstellen und vier weitere, nicht sicherheitsrelevante Fehler zu beheben.
Betroffene Software
Netzwerk
Virtualisierung
Betroffene Plattformen
Cloud
Linux
Container
Hypervisor
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und Privilegien zu eskalieren. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren und beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die Schwachstelle CVE-2021-32760 erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2021-41091 kann Einfluss auf andere Komponenten haben.
Für SUSE Linux Enterprise Module for Containers 12 steht ein Sicherheitsupdate für 'containerd', 'docker' und 'runc' bereit, um die referenzierten Schwachstellen und drei weitere, nicht sicherheitsrelevante Fehler zu beheben.
Schwachstellen:
CVE-2021-30465
Schwachstelle in runc ermöglicht Eskalation von PrivilegienCVE-2021-32760
Schwachstelle in containerd ermöglicht PrivilegieneskalationCVE-2021-41089
Schwachstelle in Docker ermöglicht PrivilegieneskalationCVE-2021-41091
Schwachstelle in Docker und containerd ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2021-41092
Schwachstelle in Docker und containerd ermöglicht Ausspähen von InformationenCVE-2021-41103
Schwachstellen in containerd ermöglichen Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.