Docker资源管理错误漏洞风险通告
发布时间 2019-12-24漏洞编号和级别
CVE编号:CVE-2019-17150,危险级别:高危,CVSS分值:厂商自评:7.8,官方未评定
影响版本
Docker < 0.6.3
漏洞概述
Docker是美国Docker公司的一款开源的应用容器引擎。该产品支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。
Docker中的docker-credential-secretservice存在资源管理错误漏洞,该漏洞源于程序在对对象进行释放操作之前,没有检查该对象是否存在。攻击者可利用该漏洞提升权限并执行代码。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.docker.com/。
参考链接
https://www.zerodayinitiative.com/advisories/ZDI-19-1030/
京公网安备11010802024551号