📚 Docker bis 1.12.1 runC user.go UID erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine problematische Schwachstelle wurde in Docker bis 1.12.1 ausgemacht. Hierbei geht es um eine unbekannte Funktion der Datei libcontainer/user/user.go der Komponente runC. Dank Manipulation des Arguments UID
mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 01.06.2016 veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2016-3697 statt. Sie gilt als leicht ausnutzbar. Der Angriff muss lokal passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Ein Upgrade auf die Version 1.12.2 vermag dieses Problem zu beheben.
CVSS
Base Score: 4.3 (CVSS2#AV:L/AC:L/Au:S/C:P/I:P/A:P) [?]Temp Score: 3.7 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Docker 1.12.2
Timeline
01.06.2016 Advisory veröffentlicht02.06.2016 VulDB Eintrag erstellt
02.06.2016 VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-3697 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 02.06.2016Eintrag: 72.7% komplett
...