L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Docker Engine : élévation de privilèges via les descripteurs de fichier

Synthèse de la vulnérabilité 

Un attaquant, dans un système invité, peut utiliser des descripteurs hérités via les fonctions de mise au point de Docker Engine, afin d'élever ses privilèges sur le système hôte.
Systèmes impactés : Docker CE, Fedora, Kubernetes, openSUSE Leap, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité de cette alerte : 1/4.
Date de création : 11/01/2017.
Références de cette alerte : CVE-2016-9962, FEDORA-2017-0200646669, FEDORA-2017-20cdb2063a, FEDORA-2017-c2c2d1be16, FEDORA-2017-dbc2b618eb, FEDORA-2017-fcd02e2c2d, openSUSE-SU-2017:1966-1, RHSA-2017:0116-01, RHSA-2017:0123-01, RHSA-2017:0127-01, SUSE-SU-2019:0573-1, SUSE-SU-2019:1264-1, VIGILANCE-VUL-21551.

Description de la vulnérabilité 

Le produit Docker Engine dispose d'une aide à la mise en point entre containers.

Cependant, les fichiers ouverts hérités par les nouveaux processus ne sont pas filtrés, ce qui permet à un attaquant d'avoir accès à des fichiers ouverts par un processus d'un autre container.

Un attaquant, dans un système invité, peut donc utiliser des descripteurs hérités via les fonctions de mise au point de Docker Engine, afin d'élever ses privilèges sur le système hôte.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette vulnérabilité concerne les logiciels ou systèmes comme Docker CE, Fedora, Kubernetes, openSUSE Leap, RHEL, SUSE Linux Enterprise Desktop, SLES.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis de vulnérabilité informatique est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de shell privilégié.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte cyber-sécurité.

Solutions pour cette menace 

Docker Engine : version 1.12.6.
La version 1.12.6 est corrigée. La source di'nformation contient les URLs des paquets binaires par plateforme.

Fedora 25 : nouveaux paquetages runc.
De nouveaux paquetages sont disponibles :
  Fedora 25 : runc 1.0.1-1.gitc5ec254.fc25

Fedora : nouveaux paquetages docker.
De nouveaux paquetages sont disponibles :
  Fedora 25 : docker 1.12.6-3.git51ef5a8.fc25, docker-latest 1.12.6-2.git51ef5a8.fc25
  Fedora 24 : docker-latest 1.12.6-1.git51ef5a8.fc24

Kubernetes : version 1.4.12.
La version 1.4.12 est corrigée :
  https://dl.k8s.io/v1.4.12/kubernetes.tar.gz

Kubernetes : version 1.5.4.
La version 1.5.4 est corrigée :
  https://github.com/kubernetes/kubernetes/releases/tag/v1.5.4

openSUSE Leap 42 : nouveaux paquetages docker.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.1 : docker 1.12.6-27.1
  openSUSE Leap 42.2 : docker 1.12.6-25.2

RHEL 7 : nouveaux paquetages docker.
De nouveaux paquetages sont disponibles :
  RHEL 7 : docker 1.12.5-14.el7, runc 1.0.0-1.rc2.el7

SUSE LE 12 : nouveaux paquetages containerd.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM-SP4 : containerd 1.2.5-16.17.2, docker 18.09.6_ce-98.37.1
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une annonce de vulnérabilité de réseau. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.