9VSA20-00238-01 CSIRT comparte actualizaciones liberadas por Docker

CSIRT comparte la información obtenida de Docker referente a una vulnerabilidad que afecta al proyecto de contenedores de software
9VSA20-00238-01.jpg

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de Docker referente a una vulnerabilidad que afecta al proyecto de contenedores de software. El presente informe incluye la respectiva medida de mitigación.

Vulnerabilidad

CVE-2020-13401

Debido a un incorrecto procesamiento de publicidad dirigida por IPv6, un atacante con permisos "root" en un contenedor y con la capacidad "CAP_NET_RAW" (la cual, viene por defecto), podría causar una suplantación de hosts IPv6, permitiéndole obtener información sensible y causar una denegación de servicios al sistema host.

Productos Afectados

Docker desde la versión 19.03.0 hasta la versión 19.03.10.

Mitigación

Actualizar a la versión 19.03.11 de Docker.

Enlaces

https://docs.docker.com/engine/release-notes/

https://github.com/docker/docker-ce/releases/tag/v19.03.11

https://github.com/kubernetes/kubernetes/issues/91507

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13401

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00238-01