检测

RHEL 7:docker (RHSA-2015:0623)

high Nessus 插件 ID 81640

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 docker 程序包修复了两个安全问题和多个缺陷,并添加了多种增强,现在可用于 Red Hat Enterprise Linux 7 Extras。

Red Hat 产品安全团队将此更新评级为具有低安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Docker 是在 Linux 中提供容器管理的服务。

已发现恶意容器映像可通过包含绝对符号链接来覆盖主机文件系统的任意部分,可能导致权限升级。(CVE-2014-9356)

在 Docker 服务解包“docker pull”后的映像或版本的方式中发现一个缺陷。攻击者可利用此缺陷提供恶意映像或版本,当解包此映像或版本时,会升级其在系统中的权限。(CVE-2014-9357)

Red Hat 在此感谢 Docker Inc. 报告这些问题。

docker-python 子程序包提供新的 Atomic 工具。Atomic 的目标是为 Red Hat Enterprise Linux Atomic 主机提供高级、连贯的条目点。Atomic 使得能够更容易与特定类型的容器交互,如超权限调试工具。
Atomic 手册页提供全面的信息和文档。

docker 程序包已升级到上游版本 1.4.1,其提供了对之前版本的多项缺陷补丁和增强,最为人所知的是试验性 overlayfs 存储驱动程序。(BZ#1174351)

缺陷补丁:

* 容器和映像的 JSON 配置文件不一致。因此,当通过“docker inspect”命令解析这些文件时,会不必要地产生复杂输出。此更新改进了配置文件中的密钥命名方案,现在“docker inspect”的输出已一致。(BZ#1092773)

* /run 目录具有错误的 SELinux 标签。因此,容器无法访问 /run。此更新修正了 SELinux 标签,现在容器已具有 /run 访问权限。(BZ#1100009)

* Docker 服务包含错误的秘密目录路径。因此,执行“docker run”无法创建容器。此更新修复了秘密目录的默认路径,现在可成功执行“docker run”。(BZ#1102568)

* 在所有 docker.io 文件无法访问的情况下,无法在配置文件中指定默认存储库。因此,由于无法联系默认存储库,运行 docker 命令失败。现在,由于能够连接到本地私人存储库,可以指定本地 Docker 存储库,命令不再失败。
(BZ#1106430)

* 当对处于关闭过程中的容器执行“docker attach”命令时,进程不会失败,但会处于无响应状态。此缺陷已修复,对正在关闭的容器运行“docker attach”会造成附加进程失败,并出现告知性错误消息,提示无法附加已停止的容器。(BZ#1113608)

* “docker run”子命令错误地返回本应全部为零的非零退出代码。因此,无法区分 docker 命令行的退出代码与所含进程的退出代码,这继而导致无法自动控制“docker run”。此更新修复了“docker run”退出代码内的不一致。此外,此更新还修复了其他 docker 子命令的不一致,并改进了错误和警告消息中的语言。
(BZ#1162807)

* 使用“--registry-prepend”选项添加新的注册表未遵循正确的顺序来查询和下载映像。因此,它未首先查询预置的新注册表,而从查询 docker.io.开始。“--registry-prepend”选项已重命名为“--registry-add”,并且已将其行为更改为按指定顺序查询添加的注册表,最后查询 docker.io。(BZ#1186153)

建议所有 docker 用户升级这些更新后的程序包,其中修正了这些问题并添加了这些增强。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/errata/RHSA-2015:0623

https://access.redhat.com/security/cve/cve-2014-9357

https://access.redhat.com/security/cve/cve-2014-9356

插件详情

严重性: High

ID: 81640

文件名: redhat-RHSA-2015-0623.nasl

版本: 1.11

类型: local

代理: unix

发布时间: 2015/3/5

最近更新时间: 2019/12/12

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: High

基本分数: 8.6

时间分数: 7.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:docker, p-cpe:/a:redhat:enterprise_linux:docker-logrotate, p-cpe:/a:redhat:enterprise_linux:docker-python, p-cpe:/a:redhat:enterprise_linux:python-websocket-client, cpe:/o:redhat:enterprise_linux:7

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2015/3/5

漏洞发布日期: 2014/12/16

参考资料信息

CVE: CVE-2014-9356, CVE-2014-9357

RHSA: 2015:0623