Состоялся выход внеочередного обновления открытой системы управления контейнерной виртуализацией Docker 1.3.2, вызванный необходимостью исправления двух ошибок, получивших статус критических. Обнаруженные уязвимости позволяли злоумышленнику получить доступ к файловой системе хост-машины за пределами контейнера, что крайне опасно.

Первой уязвимости был присвоен идентификатор CVE-2014-6407. Она позволяет злоумышленнику переместить файлы из контейнера в файловую систему хост-машины используя команды docker pull или docker load. Это возможно из-за ошибки при обработке жёстких и символических ссылок в программе извлечения данных из образа контейнера. В результате злоумышленник сможет выполнить в хост-системе произвольный код и изменить собственные права доступа.

Ошибка содержится во всех предыдущих версиях Docker. Таким образом, обновление является обязательным.

Вторая уязвимость имеет идентификатор CVE-2014-6408. Ошибка позволяет игнорировать ограничения, заданные для изолированного контейнера, что также позволяет злоумышленнику выйти за его пределы. Это связано с тем, что пользователь имеет возможность присвоить образу собственные параметры безопасности и изменить общий профиль безопасности для всех контейнеров, опирающихся на аналогичный образ.

Ошибка найдена в выпусках с номерами 1.3.0 и 1.3.1. Так что, на практике и тут обновления носит обязательный характер — вряд ли кто-то использует более ранние выпуски.

Версия для печати