Vulnérabilité concernant Docker-cli
Date de publication :
CVE-2021-41092[Score CVSS v3.1: 7.5]
Une vulnérabilité a été découverte concernant l’interface de gestion docker-cli.
L’utilitaire « docker-cli » est l’interface de gestion en ligne de commande des systèmes de containerisation de type docker.
Une vulnérabilité a été trouvée dans la fonction de lancement par un utilisateur ou un administrateur avec un fichier de paramétrage mal configuré. Les variables ( « credstore » et « credHelpers ») dans les fichiers de configuration peuvent être transmises en clair sur le site en ligne ‘registry-1.docker.io’ au lieu du registre privé local.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
• Divulgation de données sensibles
Criticité
• Score CVSS v3.1: 7.5
CVE
• CVE-2021-41092
Composants vulnérables.
Les versions de docker-cli antérieures à la 20.10.9 sont vulnérables.
Solutions ou recommandations
Il est recommandé d’effectuer la mise à jour suivante selon les versions :
• Les utilisateurs peuvent passer à la version 20.10.9
• Les utilisateurs peuvent aussi s’assurer que toutes les entrées « credsStore » ou « credHelpers » configurées dans le fichier de configuration font référence à un assistant d'identification installé sur un chemin local.