Docker资源管理过失误差危害通告

宣布时间 2019-12-24

误差编号和级别


CVE编号:CVE-2019-17150,危险级别:高危,CVSS分值:厂商自评:7.8,官方未评定


影响版本


Docker < 0.6.3


误差概述


Docker是美国Docker公司的一款开源的应用容器引擎。该产品支持在Linux系统上建设一个容器(轻量级虚拟机)并安排和运行应用程序,以及通过设置文件实现应用程序的自动化装置、安排和升级。


Docker中的docker-credential-secretservice保存资源管理过失误差,该误差源于程序在对工具举行释放操作之前,没有检查该工具是否保存。攻击者可使用该误差提升权限并执行代码。


误差验证


暂无POC/EXP。


修复建议


现在厂商已宣布升级补丁以修复误差,详情请关注厂商主页:

https://www.docker.com/。


参考链接


https://www.zerodayinitiative.com/advisories/ZDI-19-1030/