9VSA20-00238-01 CSIRT comparte actualizaciones liberadas por Docker
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de Docker referente a una vulnerabilidad que afecta al proyecto de contenedores de software. El presente informe incluye la respectiva medida de mitigación.
Vulnerabilidad
CVE-2020-13401
Debido a un incorrecto procesamiento de publicidad dirigida por IPv6, un atacante con permisos "root" en un contenedor y con la capacidad "CAP_NET_RAW" (la cual, viene por defecto), podría causar una suplantación de hosts IPv6, permitiéndole obtener información sensible y causar una denegación de servicios al sistema host.
Productos Afectados
Docker desde la versión 19.03.0 hasta la versión 19.03.10.
Mitigación
Actualizar a la versión 19.03.11 de Docker.
Enlaces
https://docs.docker.com/engine/release-notes/
https://github.com/docker/docker-ce/releases/tag/v19.03.11
https://github.com/kubernetes/kubernetes/issues/91507
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13401
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00238-01