Amazon Linux AMI:docker(ALAS-2014-454)
high Nessus プラグイン ID 79562
Language:
概要
リモート Amazon Linux AMI ホストに、セキュリティ更新がありません。説明
Docker バージョン 1.3.0 ~ 1.3.1 では、セキュリティオプションの、イメージへの適用が可能でした。これは、イメージが、これらのイメージを実行しているコンテナのデフォルト実行プロファイルを変更できるようになります。この脆弱性により、悪意のあるイメージ作成者が、コンテナのプロセスに適用されている制限を緩め、ブレイクアウトを実行する可能性があります。(CVE-2014-6408)
最大 1.3.1 までのバージョンの Docker エンジンは、「docker pull」および「docker load」操作中に、任意のパスにファイルを抽出することに脆弱性でした。これは、Docker のイメージ抽出に存在するシンボリックリンクおよびハードリンクのトラバーサルによって引き起こされます。この脆弱性は、リモートコード実行や権限昇格を行うために利用される可能性があります。(CVE-2014-6407)
ソリューション
「yum update docker」を実行して、システムを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 79562
ファイル名: ala_ALAS-2014-454.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
公開日: 2014/11/26
更新日: 2018/4/18
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.5
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:amazon:linux:docker, p-cpe:/a:amazon:linux:docker-devel, p-cpe:/a:amazon:linux:docker-pkg-devel, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2014/11/25
参照情報
CVE: CVE-2014-6407, CVE-2014-6408
ALAS: 2014-454