ドッカーシンボリックリンクディレクトリトラバーサルの脆弱性(CVE-2018から15664)
発売日: 2019年5月28日
更新: 2019年5月31日
影響を受けるシステム:
ドッカードッカー
説明:
ID BUGTRAQ:108 507
CVE(CAN)ID:CVE-2018から15664
の開発者は、ポータブル鏡に自分のアプリケーションとの依存関係をパッケージ化して、任意の一般的なLinuxに公開できるようドッカーは、コンテナアプリケーションエンジンのオープンソースでありますまたはWindowsマシン上で、あなたは仮想化することができます。
以前のバージョンでは18.06.1-CE-RC2とドッカー、バンドの後ろに「ドッキングウィンドウのCP」コマンドAPIエンドポイントは、ディレクトリトラバーサルシンボリックリンク交換の攻撃に対して脆弱である攻撃者が任意の読み取りを可能にし、root権限を持つホストファイルシステムへの書き込みアクセスを。デーモンが凍結されたファイルシステム(またはchroot環境内から)アーカイブのない/archive.goためです。
<*出典:Aleksaサライ
*>
提案:
メーカーパッチ:
ドッカーは
------
現在、ベンダーがパッチやアップグレードを提供しない、我々はこのソフトウェアを使用することをお勧めします、最新バージョンを入手するには、ベンダのホーム・ページを懸念し、いつでもユーザー:
http://www.docker.com/