阅读时间: 1 分钟
Docker发布了重要的安全更新,以解决版本1.3.2之前的Docker版本中的安全漏洞。 其中包括针对两个关键漏洞的修复程序,其中一个漏洞可能使攻击者升级特权并执行远程代码。
Docker是Linux上流行的开源项目,可自动在软件容器内部署应用程序。
1)在1.3.1.docker版本及以下版本的Docker引擎中,在“ docker pull”和“ docker load”操作期间,很容易将文件提取到主机上的任意路径。 这是由Docker映像提取中出现的符号链接和硬链接遍历引起的。 此漏洞可能
用于执行远程代码执行和特权升级。
Docker 1.3.2修复了此漏洞。
2)Docker版本1.3.0至1.3.1允许将安全选项应用于映像,从而允许映像修改执行这些映像的容器的默认运行配置文件。 此漏洞可能允许恶意图像创建者放宽对容器的过程的限制,从而有可能促进突破。
Docker 1.3.2修复了此漏洞。
