負責監控全美資安事件的美國電腦緊急應變中心US-CERT向來會不定期發布重要IT產品的安全更新,來降低資安漏洞對美國企業或民眾的威脅。

近日US-CERT也將Docker產品安全納入例行的資訊產品資安通報的追蹤範圍,並於11月24日發布了2項Docker重大漏洞(Critical 等級)的更新通知。

UC-CERT表示,Docker釋出了1.3.2版,修補了1.3.1版之前出現的HOST端檔案惡意擴權漏洞(CVE-2014-6407漏洞)以及可能破壞Container封閉性的惡意映象檔漏洞(CVE-2014-640漏洞)。

CVE-2014-6407惡意擴權漏洞是透過docker pull和docker load指令時來取得任意外部路徑的檔案時會出現的漏洞,可能會讓駭客趁機植入遠端執行的惡意程式,或是提高檔案的權限等級。

第二個漏洞則是1.3.1版安全選項功能的漏洞,駭客可以修改從映象檔載入成為Container時的執行設定,來鬆動Container的安全封閉性以取得更高的存取權限,若開發者使用了惡意映象檔,恐怕導致Host主機上的權限遭竊或導致其他Container的運作不穩。

Docker 1.3.2版已經修正了這兩個問題,US-CERT也呼籲用戶盡快升級。

 

↓Docker官網上對1.3.2版修補兩個重大安全漏洞的說明

熱門新聞

Advertisement