首頁 > 安全研究 > 安全通報 > 安全通告

Docker符號鏈接條件競爭漏洞安全通告

發布時間 2019-06-03

漏洞編號和級別


CVE編號:CVE-2018-15664,危險級別:高級,CVSS分值:8.7


受影響的版本


Docker 18.06.1-ce-rc2及之前版本


漏洞概述


Docker是美國Docker公司的一款開源的應用容器引擎。該產品支持在Linux系統上創建一個容器(輕量級虛擬機)并部署和運行應用程序,以及通過配置文件實現應用程序的自動化安裝、部署和升級。


Docker 18.06.1-ce-rc2及之前版本中的API端點存在符號鏈接條件競爭漏洞。該漏洞源于網絡系統或產品未能正確地過濾資源或文件路徑中的特殊元素??稍试S攻擊者在指定的程序對資源進行操作之前修改資源路徑,從而可能獲得任意文件的讀寫訪問權限,這被稱為TOCTOU類型的bug。該漏洞的核心源于FollowSymlinkInScope功能易受TOCTOU攻擊。


漏洞驗證


漏洞POC:https://seclists.org/oss-sec/2019/q2/131。


修復建議


目前廠商暫未發布修復措施解決此安全問題,建議使用此軟件的用戶隨時關注廠商主頁或參考網址以獲取解決辦法:https://www.docker.com/ 。


參考鏈接


https://seclists.org/oss-sec/2019/q2/131


上一篇 下一篇