L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Docker Engine

vulnérabilité informatique CVE-2016-3697

Docker : élévation de privilèges via Numeric UID

Synthèse de la vulnérabilité

Un attaquant local peut dans certains cas utiliser un uid sur Docker, afin d'élever ses privilèges.
Produits concernés : Docker CE, Fedora, QRadar SIEM, openSUSE, RHEL.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 13/05/2016.
Références : 1329450, 2004947, CVE-2016-3697, FEDORA-2016-6a0d540088, openSUSE-SU-2016:1417-1, RHSA-2016:1034-01, RHSA-2016:2634-01, VIGILANCE-VUL-19615.

Description de la vulnérabilité

Le produit Docker peut être installé sur un système avec un nom d'utilisateur numérique. Par exemple, si /etc/passwd contient :
  1000::0:0:::/bin/bash
  uti::1000:1000:::/bin/bash

Cependant, les vérifications de droits sont effectuées sur l'utilisateur avec l'uid 1000, mais l'accès est accordé avec l'utilisateur de nom "1000".

Un attaquant local peut donc dans certains cas utiliser un uid sur Docker, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2014-8178 CVE-2014-8179

Docker Engine : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Docker.
Produits concernés : Docker CE, openSUSE, openSUSE Leap.
Gravité : 2/4.
Conséquences : création/modification de données, transit de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 19/10/2015.
Références : CVE-2014-8178, CVE-2014-8179, openSUSE-SU-2015:1773-1, openSUSE-SU-2015:2073-1, VIGILANCE-VUL-18131.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Docker.

Un attaquant peut utiliser un Layer ID, afin de corrompre le graphe. [grav:2/4; CVE-2014-8178]

Un attaquant peut contourner la validation du Manifest. [grav:2/4; CVE-2014-8179]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Docker Engine :