Докер 1.3.3 снабжает обновления совокупности защиты не обращая внимания на то, что Red Hat не вычисляет неприятности важными.Проект Докера с открытым исходным кодом обновил механизм Докера для контейнерной виртуализации к версии 1.3.3, фиксировав трио уязвимостей совокупности обеспечения безопасности.
Консультации безопасности для уязвимостей Докера были сперва публично выпущены 11 декабря не обращая внимания на то, что не каждый поставщик в экосистеме Докера торопился обновлять.Докер показался в течение 2014 для становления популярной разработкой для виртуализации приложений и сейчас имеет помощь Amazon, IBM, VMware, Микрософт и Red Hat, среди вторых.
Одна из неприятностей, устраненных в Докере 1.3.3, идентифицируется как CVE-2014-9357 и есть недостатком расширения полномочий, что был представлен в Докере 1.3.2 обновления. Докер 1.3.2 начинал 24 ноября, предоставляя пользователям пару обновлений совокупности защиты.«Это было найдено, что введение chroot для архивной экстракции в Докере 1.3.2 представило уязвимость расширения полномочий», Докер предупредил на ее консультации. «Злонамеренные изображения либо сборки от злонамеренного Dockerfiles имели возможность передать полномочия и выполнить произвольный код как привилегированного пользователя root на узле Докера, обеспечив злонамеренный ‘xz’ бинарный файл».Другие два обновления совокупности защиты в Докере, что 1.3.3 обновления для того, что известно как уязвимости обхода пути.
В нападении обхода пути атакующий в состоянии взять несанкционированный доступ к файлам вне обычных папок, для которых у данного пользователя имеется разрешённый доступ. Один из недостатков обхода пути идентифицируется как CVE-2014-9356.«Эта уязвимость разрешила злонамеренным изображениям либо сборкам от злонамеренного Dockerfiles писать файлы в хост-контейнеризацию и систему Escape, приведя к расширению полномочий», Докер предупредил на его консультации для CVE-2014-9356.
Вторая неприятность обхода пути идентифицируется как CVE-2014-9358, что был достигнутым результатом механизма Докера, не вполне проверяющего идентификаторы изображения.Тогда как проект Докера с открытым исходным кодом выпустил собственные обновления 11 декабря, 12 декабря, Red Hat содействовал доступности Docker-1.3.2-4 для его Red Hat Enterprise Linux (RHEL) Атомарная Хостовая операционная совокупность. Атомарный Узел есть версией флагмана Red Hat платформа Linux, которая была оптимизирована для предоставления приложения-контейнера Докера.Довольно того, по какой причине Red Hat сходу не предоставлял своим Атомарным Пользователям узла RHEL Докера 1.3.3, Дэн Уолш, инженер-консультант в Red Hat, ответил на eWEEK через Твиттер, что CVEs не считали важными.
Ларс Херрманн, главный директор, стратегия, в Red Hat, сообщили eWEEK по email, что Red Hat выпустил консультацию неточности RHBA-2014:1977-1 10 декабря. CVE-2014-9358 уязвимость, которая была исправлена восходящим проектом Докера с открытым исходным кодом в Докере 1.3.3 выпуска, есть частью консультации неточности Red Hat и исправленный в обновлении Docker-1.3.2-4.
Другие два недостатка, CVE-2014-9356 и CVE-2014-9358, не были частью обновления Red Hat.«CVEs, которые не обращены в этом RHBA, не вычисляют проблематичными», заявил Херрманн. «Нижняя строка – то, что для клиентов, которые применяют совокупности подобающим образом, включая применение контейнерных изображений из лишь доверяемых источников, два из идентифицированных CVEs не будут оказывать влияние на них».
Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.