Vulnérabilité critique dans Docker
Date de publication :
Une vulnérabilité critique a été découverte dans Docker, un logiciel permettant de lancer des applications dans des conteneurs logiciels. Elle peut permettre à un attaquant distant de provoquer une atteinte à la confidentialité des données ou un déni de service.
CVE-2020-13401 [Score CVSS v3 : 9.8] : Une vulnérabilité dans Docker Engine peut permettre à un attaquant dans un conteneur, et ayant la capacité CAP_NET_RAW, de créer des paquets de type “router advertisement” IPv6 afin d’usurper l’adresse IPv6 d’hôtes externes et ainsi obtenir des informations sensibles voire provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Atteinte à la confidentialité des données
- Déni de service
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
- Docker Engine toutes versions jusqu’à la 19.03.11
CVE
- CVE-2020-13401
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Docker vers une version non vulnérable
Solution de contournement
Aucune solution de contournement n’est disponible