Docker 任意文件读取漏洞
时间:2023-02-07 18:45 来源:linux.it.net.cn 作者:IT
漏洞描述
Docker 是一个开源的应用容器引擎。
在 Docker 受影响版本中,由于权限认证不当,在宿主机中具有和 Docker 中打开文件的 UID 相同的攻击者,可以访问容器内任意文件。攻击者在 Docker 中打开 shadow 文件期间,可对该文件具有完全的读写权限。
漏洞名称
Docker 任意文件读取漏洞
漏洞类型
特权管理不恰当
发现时间
2023-02-01
漏洞影响广度
广
MPS 编号
MPS-2022-53621
CVE 编号
CVE-2022-37708
CNVD 编号
-
影响范围
Docker@(-∞, 20.10.16)
修复方案
将组件 Docker 升级至 20.10.16 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-53621
https://nvd.nist.gov/vuln/detail/CVE-2022-37708
POC
(责任编辑:IT)
漏洞描述Docker 是一个开源的应用容器引擎。 在 Docker 受影响版本中,由于权限认证不当,在宿主机中具有和 Docker 中打开文件的 UID 相同的攻击者,可以访问容器内任意文件。攻击者在 Docker 中打开 shadow 文件期间,可对该文件具有完全的读写权限。
影响范围Docker@(-∞, 20.10.16) 修复方案将组件 Docker 升级至 20.10.16 及以上版本 参考链接https://www.oscs1024.com/hd/MPS-2022-53621 https://nvd.nist.gov/vuln/detail/CVE-2022-37708 POC (责任编辑:IT) |