偵測

RHEL 7:docker (RHSA-2015:0623)

high Nessus Plugin ID 81640

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 7 Extras 的更新版 docker 套件,可修正兩個安全性問題、數個錯誤,並新增多種增強功能。

Red Hat 產品安全性團隊已將此更新評等為具有低安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

Docker 是一種在 Linux 上提供容器管理的服務。

據發現,惡意容器影像可加入絕對符號連結,進而覆寫主機檔案系統的任意部分,可能導致權限提升。(CVE-2014-9356)

Docker 服務在 'docker pull' 命令後解除封裝影像或版本的方式有一個瑕疵。攻擊者可利用此瑕疵提供惡意影像或版本,一旦其解除封裝,即可提升自己在系統上的權限。(CVE-2014-9357)

Red Hat 要感謝 Docker Inc. 報告這些問題。

Docker-python 子套件提供新的 Atomic 工具。Atomic 旨在為 Red Hat Enterprise Linux Atomic Host 提供高層級的連貫進入點。Atomic 有助於更容易與特殊類型的容器進行互動,例如:具有超級權限的除錯工具。
如需完整資訊和文件,請參閱 Atomic 手冊頁面。

docker 套件已升級至上游版本 1.4.1,相較於先前的版本,此版本提供多項錯誤修正和增強功能,最明顯的是實驗性 overlayfs 儲存驅動程式。(BZ#1174351)

錯誤修正:

* 容器和影像的 JSON 組態檔案不一致。因此,以 'docker inspect' 命令剖析這些檔案時,輸出會不必要地變複雜。此更新改善了組態檔案中的金鑰命名配置,'docker inspect' 的輸出現已統一。(BZ#1092773)

* /run 目錄有不正確的 SELinux 標籤。因此,容器不會存取 /run。此更新更正了 SELinux 標籤,容器現可存取 /run。(BZ#1100009)

* Docker 服務具有不正確的密碼目錄路徑。因此,執行「docker run」無法建立容器。此更新修正了密碼目錄的預設路徑,「docker run」現可成功執行。(BZ#1102568)

* 所有 docker.io 檔案都無法存取時,無法在類別的組態檔中指定預設的存放庫。由於無法連線到預設的存放庫,因此執行 docker 命令會失敗。現已可指定本機 Docker 存放庫,由於可連線到本機私人存放庫,因此命令不會再執行失敗。
(BZ#1106430)

* 在關機中的容器上執行 'docker attach' 命令時,處理程序不會失敗,但會變得無法回應。此錯誤已修正,在關機中的容器上執行 'docker attach' 會造成附加處理程序失敗,並且顯示詳細的錯誤訊息,表示其無法附加到停止的容器。(BZ#1113608)

* 'docker run' 子命令會不正確傳回非零結束代碼,但其應為零。因此,無法區分 docker 命令行的結束代碼和自主處理程序的結束代碼,而這會導致無法自動控制 'docker run'。此更新修正了 'docker run' 結束代碼內的不一致。此外,此更新還修正了其他 docker 子命令的不一致,並改善了錯誤和警告訊息中的文字。
(BZ#1162807)

* 使用「--registry-prepend」選項新增登錄檔的方式並未遵循正確的查詢和下載影像順序。因此無法先查詢前面附加的新登錄檔,而是從 docker.io 開始查詢。「--Registry-prepend」選項已重新命名為「--registry-add」,且其行為已變更為依照指定的順序查詢登錄檔,最後才查詢 docker.io。(BZ#1186153)

建議所有 docker 使用者皆升級至這些更新版套件,其可更正這些問題並新增這些增強功能。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/errata/RHSA-2015:0623

https://access.redhat.com/security/cve/cve-2014-9357

https://access.redhat.com/security/cve/cve-2014-9356

Plugin 詳細資訊

嚴重性: High

ID: 81640

檔案名稱: redhat-RHSA-2015-0623.nasl

版本: 1.11

類型: local

代理程式: unix

已發布: 2015/3/5

已更新: 2019/12/12

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

風險因素: High

基本分數: 8.6

時間分數: 7.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:docker, p-cpe:/a:redhat:enterprise_linux:docker-logrotate, p-cpe:/a:redhat:enterprise_linux:docker-python, p-cpe:/a:redhat:enterprise_linux:python-websocket-client, cpe:/o:redhat:enterprise_linux:7

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/3/5

弱點發布日期: 2014/12/16

參考資訊

CVE: CVE-2014-9356, CVE-2014-9357

RHSA: 2015:0623