Docker Gain Privileges 관련 CVE
1. CVE-2016-3697
| libcontainer/user/user.go in runC before 0.1.0, as used in Docker before 1.11.2, improperly treats a numeric UID as a potential username, which allows local users to gain privileges via a numeric username in the password file in a container. |
-> 0.1.0 이전 runC or 1.11.2 이전 버전 도커에서 사용된 libcontainer/user/user.go는 numeric UID를 잠재적인 사용자 이름으로 부적절하게 처리하여 로컬 사용자가 컨테이너의 패스워드 파일에 있는 numeric username을 통해 권한을 얻을 수 있도록 한다.
#CVE ID : CVE-2016-3697 / #CWE ID : 264
#Vulnerability Type(s) - 취약점 타입
-> Gain Privileges ( 권한 획득 )
#Publish Date
-> 2016 - 06 - 01
#Update Date
-> 2018 - 10 - 30
#Score
-> 2.1
#설명
-> It was found that Docker would launch containers under the specified UID instead of a username. An attacker able to launch a container could use this flaw to escalate their privileges to root within the launched container.
: Docker가 사용자 이름 대신 지정된 UID로 컨테이너를 시작한다는 사실이 발견되었다. 컨테이너를 시작할 수 있는 공격자는 이 결함을 사용하여 시작된 컨테이너의 루트 권한으로 권한을 상승시킬 수 있습니다.
출처 : https://access.redhat.com/security/cve/cve-2016-3697
출처 : https://www.cvedetails.com/product/28125/Docker-Docker.html?vendor_id=13534
'infra > Docker' 카테고리의 다른 글
| Dachore 개발 (1) | 2019.06.03 |
|---|---|
| Docker_Anchore( Open Source) (0) | 2019.05.15 |
| Docker_CVE-2015-3627 (0) | 2019.05.14 |
| Docker_CVE-2014-3499 (0) | 2019.05.13 |
| 도커(Docker) 란 무엇인가? (0) | 2019.05.13 |
