segunda-feira, 24 de novembro de 2014

Quão seguro é Docker? Se você não está rodando a versão 1.3.2, não muito


Controle remoto para desktops virtualizados


A vulnerabilidade desagradável foi descoberto no software conteinerização aplicação Docker para Linux que pode permitir a um atacante obter privilégios elevados e executar código remotamente em sistemas afetados.


O bug, que foi corrigido no Docker 1.3.2, afeta todas as versões anteriores do software.







"Não remediação está disponível para versões mais antigas do Docker e os usuários são aconselhados a atualizar", disse a empresa em um comunicado de segurança na segunda-feira.


A falha, que foi atribuído CVE-2014-6407, relaciona-se com a forma como o motor de Docker lida com arquivos de imagem do sistema de arquivos. As versões anteriores do software seria seguir cegamente os links simbólicos e duras em arquivos de imagem, o que poderia permitir a um invasor criar uma imagem maliciosa que escreveu arquivos para pastas arbitrárias no disco.


Docker 1.3.2 executa verificações adicionais em imagens antes de extraí-los, e da própria extração ocorre agora dentro de um ambiente "chroot" sandbox, onde só tem acesso limitado ao sistema de arquivos.


Docker Créditos da Red Hat Florian Weimer e pesquisador independente Tõnis Tiigi para detectar a falha.


Mas se fixa que pouco showstopper não é motivo suficiente para que você atualize, a divulgação de segurança de segunda-feira também descreve um segundo bug crítico, CVE-2014-6408, esta afetando somente as versões 1.3.0 e 1.3.1 Docker.


Essas versões do software seria aceitar e agir de acordo com as opções de segurança que foram aplicados em imagens Estivador, o que poderia permitir uma imagem maliciosa para afrouxar as restrições de segurança aplicadas ao recipiente que está executando a imagem. Sob as circunstâncias corretas, que por sua vez poderia deixar que um programa malicioso se libertar de seu recipiente e afetar o próprio sistema host.


Certo, então atualizá-lo será, então.


Docker diz versão 1.3.2 já está disponível para todas as plataformas suportadas. Isso é uma longa lista, mas atualizar as instruções estão disponíveis para muitos deles aqui . ®







via Alimentação (Feed)
Postado por às
Marcadores: , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)