Vulnérabilités dans des paquets Docker pour Red Hat
Date de publication :
Plusieurs vulnérabilités ont été découvertes dans des paquets Docker distribués pour des versions de Red Hat. Elles peuvent permettre la compromission de plusieurs conteneurs via un conteneur malveillant.
CVE-2020-14298 [Score CVSS v3 : 8.8] : Une vulnérabilité due à un correctif de sécurité imparfait a été découverte dans la version de Docker proposée pour Red Hat Enterprise. Elle est due à une version incorrecte de runc distribuée via la mise à jour RHBA-2020:0053 qui annule la mise à jour RHSA-2019:0304 qui permettait de corriger la vulnérabilité CVE-2019-5736. Un attaquant peut exploiter cette vulnérabilité en utilisant un conteneur spécialement conçu afin de compromettre tous les conteneurs déployés sur une même machine.
CVE-2020-14300 [Score CVSS v3 : 7.8] : Une vulnérabilité due à un correctif de sécurité imparfait a été découverte dans la version de Docker proposée pour Red Hat Enterprise. Elle est due à une version incorrecte de runc distribuée via la mise à jour RHBA-2020:0053 qui annule la mise à jour RHSA-2017:0116 qui permettait de corriger la vulnérabilité CVE-2016-9962. Un attaquant peut exploiter cette vulnérabilité en utilisant un conteneur spécialement conçu afin de compromettre tous les conteneurs déployés sur une même machine.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Compromission de conteneurs
Criticité
- Score CVSS v3 : 8.8 et 7.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible
Composants vulnérables
- Red Hat Enterprise Linux Server 7 x86_64
- Red Hat Enterprise Linux for IBM z Systems 7 s390x
- Red Hat Enterprise Linux for Power, little endian 7 ppc64le
CVE
- CVE-2020-14298
- CVE-2020-14300
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les paquets Docker
Solution de contournement
Aucune solution de contournement n’est disponible