Docker符号链接条件竞争漏洞安全通告

发布时间 2019-06-03

漏洞编号和级别


CVE编号:CVE-2018-15664,危险级别:高级,CVSS分值:8.7


受影响的版本


Docker 18.06.1-ce-rc2及之前版本


漏洞概述


Docker是美国Docker企业的一款开源的应用容器引擎。该产品支撑在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。


Docker 18.06.1-ce-rc2及之前版本中的API端点存在符号链接条件竞争漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。可允许攻击者在指定的程序对资源进行操作之前修改资源路径,从而可能获得任意文件的读写访问权限,这被称为TOCTOU类型的bug。该漏洞的核心源于FollowSymlinkInScope功能易受TOCTOU攻击。


漏洞验证


漏洞POC:https://seclists.org/oss-sec/2019/q2/131。


修复建议


目前厂商暂未发布修复措施解决此安全问题,建议使用此App的用户随时关注厂商主页或参考网址以获取解决办法:https://www.docker.com/ 。


参考链接


https://seclists.org/oss-sec/2019/q2/131