ГлавнаяБаза уязвимостей БДУ → BDU:2020-02861
10критическая

BDU:2020-02861 (CVE-2020-10696)

Уязвимость инструмента командной строки Buildah, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю создать образ вредоносного контейнера и заменить произвольные файлы в системе пользователя
Опубликовано: 2020-06-19
Описание

Уязвимость инструмента командной строки Buildah существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать образ вредоносного контейнера и заменить произвольные файлы в системе пользователя

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)OpenShift Container Platform (4.1)OpenShift Container Platform (3.11)OpenShift Container Platform (4.2)OpenShift Container Platform (4.3)Red Hat Enterprise Linux (7 Extras)Buildah (до 1.14.5)SUSE Linux Enterprise Module for Containers (15)
Способ устранения

Использование рекомендаций:
Для Buildah:
https://github.com/containers/buildah/pull/2245

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-10696/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-10696

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.suse.com/security/cve/CVE-2020-10696/https://access.redhat.com/security/cve/CVE-2020-10696https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-10696https://github.com/containers/buildah/pull/2245
Проверьте безопасность своего сайта и почты → Полная проверка домена