読書の時間: 1 分
Dockerは、バージョン1.3.2より前のDockerバージョンのセキュリティ上の欠陥に対処する重要なセキュリティアップデートをリリースしました。 これらには、XNUMXつの重大な脆弱性に対する修正が含まれています。そのうちのXNUMXつは、攻撃者が特権を昇格させ、リモートコードを実行する可能性があります。
Dockerは、ソフトウェアコンテナー内でのアプリケーションのアプリケーション展開を自動化するLinux向けの人気のあるオープンソースプロジェクトです。
1)バージョン1.3.1までのDockerエンジンは、「docker pull」および「docker load」操作中にホスト上の任意のパスにファイルを抽出する脆弱性がありました。 これは、Dockerのイメージ抽出に存在するシンボリックリンクとハードリンクトラバーサルが原因でした。 この脆弱性は
リモートコードの実行と特権の昇格を実行するために活用されます。
Docker 1.3.2はこの脆弱性を修正します。
2)Dockerバージョン1.3.0から1.3.1では、セキュリティオプションをイメージに適用できるため、イメージでこれらのイメージを実行するコンテナのデフォルトの実行プロファイルを変更できます。 この脆弱性により、悪意のあるイメージの作成者がコンテナのプロセスに適用されている制限を緩め、ブレークアウトを容易にする可能性があります。
Docker 1.3.2はこの脆弱性を修正します。