検出

RHEL 7:docker(RHSA-2015:0623)

high Nessus プラグイン ID 81640

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

2 つのセキュリティ問題といくつかのバグを修正し、様々な強化機能を追加する更新済みの docker パッケージが、Red Hat Enterprise Linux 7 Extras で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度低として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Docker は、Linux 上でコンテナ管理を行うサービスです。

絶対シンボリックリンクを含めることにより、悪意のあるコンテナ画像がホストファイルシステムの任意の部分を上書きし、これにより権限昇格が引き起こされる可能性があることが判明しました。(CVE-2014-9356)

Docker サービスが「docker pull」後に画像またはビルドのアンパックを行う方法で欠陥が見つかりました。攻撃者がこの欠陥を利用し、悪意のある画像またはビルドを提供し、これらがアンパックされるとシステムの権限を昇格させる可能性があります。(CVE-2014-9357)

Red Hat は、これらの問題を報告してくれた Docker Inc. に感謝の意を表します。

docker-python サブパッケージは新しい Atomic ツールを提供します。Atomic の目的は、Red Hat Enterprise Linux Atomic Host に対して高レベルのわかりやすいエントリポイントを提供することです。Atomic によって、スーパー特権のあるデバッグツールなどの特別なタイプのコンテナとのやり取りが簡単になります。
包括的な情報とドキュメントが atomic のマニュアルページで利用可能です。

docker パッケージが Upstream バージョン 1.4.1 にアップグレードされ、以前のバージョンに対する多くのバグ修正と強化機能を提供します。主なものとして、実験的な overlayfs ストレージドライバーが挙げられます。(BZ#1174351)

バグ修正:

* コンテナと画像の JSON 構成ファイルが一致していませんでした。結果として、これらのファイルが「docker inspect」コマンドによって解析されると、出力が不必要に複雑になりました。この更新により、構成ファイルの主な命名スキーマが改善され、「docker inspect」からの出力は統一がとれたものになっています。(BZ#1092773)

* /run ディレクトリに不適切な SELinux ラベルがありました。結果として、コンテナが /run にアクセスできませんでした。この更新により SELinux ラベルが修正され、コンテナは /run にアクセスできるようになっています。(BZ#1100009)

* Docker サービスに、隠しディレクトリに対する不適切なパスがあります。結果として、「docker run」を実行しても、コンテナを作成できませんでした。この更新により、隠しディレクトリに対するデフォルトパスが修正され、「docker run」は正常に実行されるようになりました。(BZ#1102568)

* 全ての docker.io ファイルにアクセスできない場合、構成ファイルでデフォルトリポジトリを指定できませんでした。結果として、デフォルトリポジトリにアクセスできないため、docker コマンドの実行に失敗していました。現在は、ローカルの Docker リポジトリを指定できるようになり、ローカルプライベートリポジトリに接続できるため、コマンドが失敗することがなりました。
(BZ#1106430)

* シャットダウン中のコンテナで「docker attach」コマンドを実行すると、プロセスは失敗しませんが、応答不能になりました。このバグが修正され、シャットダウン中のコンテナで「docker attach」を実行すると、停止したコンテナにアタッチできないことを伝えるエラーメッセージが表示され、アタッチプロセスが失敗します。(BZ#1113608)

* 「docker run」サブコマンドが、本来は全て 0 であるべき場合に、0 以外の終了コードを不適切に返しました。結果として、docker コマンドラインの終了コードと、含まれるプロセスの終了コードの区別ができず、これにより「docker run」の自動コントロールが不可能になっていました。この更新は、「docker run」の終了コードにある非整合性を修正します。さらに、この更新は、他の docker サブコマンドの非整合性も修正し、エラーメッセージと警告メッセージの言い回しも改善します。
(BZ#1162807)

* 「--registry-prepend」オプションで新しいレジストリを追加すると、クエリと画像のダウンロードが正しい順番で実行されませんでした。結果として、先頭に追加された新しいレジストリのクエリを最初に行わず、docker.io のクエリから開始されていました。「--registry-prepend」オプションの名前が「--registry-add」に変更され、所定の順番で追加されたレジストリのクエリを行うように動作が変更されました。docker.io のクエリは最後に行われます。(BZ#1186153)

docker の全ユーザーは、これらの更新済みパッケージにアップグレードして、これらの問題を修正し、これらの強化機能を追加することが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2015:0623

https://access.redhat.com/security/cve/cve-2014-9357

https://access.redhat.com/security/cve/cve-2014-9356

プラグインの詳細

深刻度: High

ID: 81640

ファイル名: redhat-RHSA-2015-0623.nasl

バージョン: 1.11

タイプ: local

エージェント: unix

公開日: 2015/3/5

更新日: 2019/12/12

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: High

基本値: 8.6

現状値: 7.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:docker, p-cpe:/a:redhat:enterprise_linux:docker-logrotate, p-cpe:/a:redhat:enterprise_linux:docker-python, p-cpe:/a:redhat:enterprise_linux:python-websocket-client, cpe:/o:redhat:enterprise_linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/3/5

脆弱性公開日: 2014/12/16

参照情報

CVE: CVE-2014-9356, CVE-2014-9357

RHSA: 2015:0623