ГлавнаяБаза уязвимостей БДУ → BDU:2022-05502
7.8высокая

BDU:2022-05502

Уязвимость интерфейса командной строки (CLI) средства автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker, позволяющая нарушителю получить произвольные учетные данные
Опубликовано: 2022-09-05
Описание

Уязвимость интерфейса командной строки (CLI) средства автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить произвольные учетные данные

Затрагиваемое ПО и версии
Fedora (34)Fedora (35)Astra Linux Special Edition (1.7)SCALANCE LPE9403 (до 2.0)Docker (до 20.10.9)IBM Spectrum Discover (до 2.0.4.5)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.9)IBM Robotic Process Automation (до 21.0.2.3)
Способ устранения

Использование рекомендаций:
Для Docker CLI:
https://github.com/docker/cli/security/advisories/GHSA-99pg-grm5-qq3v
https://github.com/docker/cli/commit/893e52cf4ba4b048d72e99748e0f86b2767c6c6b

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/B5Q6G6I4W5COQE25QMC7FJY3I3PAYFBB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZNFADTCHHYWVM6W4NJ6CB4FNFM2VMBIB/

Для SCALANCE LPE9403:
https://cert-portal.siemens.com/productcert/pdf/ssa-222547.pdf

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6568675
https://www.ibm.com/support/pages/node/6614449

Для ОС Astra Linux Special Edition 1.7:
обновить пакет docker.io до 24.0.2+astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения docker.io до версии 20.10.5+dfsg1-1+deb11u2.osnova8

Для Astra Linux Special Edition 4.7:
обновить пакет docker.io до 24.0.2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/pdf/ssa-222547.pdfhttps://github.com/docker/cli/commit/893e52cf4ba4b048d72e99748e0f86b2767c6c6bhttps://github.com/docker/cli/security/advisories/GHSA-99pg-grm5-qq3vhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/B5Q6G6I4W5COQE25QMC7FJY3I3PAYFBB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZNFADTCHHYWVM6W4NJ6CB4FNFM2VMBIB/https://www.ibm.com/support/pages/node/6568675https://www.ibm.com/support/pages/node/6614449https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена