10критическая
BDU:2020-02861 (CVE-2020-10696)
Уязвимость инструмента командной строки Buildah, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю создать образ вредоносного контейнера и заменить произвольные файлы в системе пользователя
Опубликовано: 2020-06-19
Описание
Уязвимость инструмента командной строки Buildah существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать образ вредоносного контейнера и заменить произвольные файлы в системе пользователя
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)OpenShift Container Platform (4.1)OpenShift Container Platform (3.11)OpenShift Container Platform (4.2)OpenShift Container Platform (4.3)Red Hat Enterprise Linux (7 Extras)Buildah (до 1.14.5)SUSE Linux Enterprise Module for Containers (15)
Способ устранения
Использование рекомендаций:
Для Buildah:
https://github.com/containers/buildah/pull/2245
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-10696/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-10696
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи