轻源码

  • QingYuanMa.com
  • 全球最大的互联网技术和资源下载平台
搜索
轻源码 门户 IT时讯 查看主题

未修复的漏洞将影响所有Docker版本

发布者: 云文章 | 发布时间: 2021-1-22 06:30| 查看数: 4756| 评论数: 0|帖子模式

所有版本的Docker目前都容易受到“竞态条件”的攻击,这种攻击手段可使攻击者对主机系统上的任何文件都具有读写访问权限,概念验证代码已经发布。该漏洞类似于CVE-2018-15664,它为黑客提供了一个窗口,可以指定的程序开始对资源进行操作之前修改资源路径,归属于时间检查(TOCTOU)类型的错误。

该漏洞的核心源于FollowSymlinkInScope功能,该功能易受TOCTOU攻击。该函数的目的是通过将进程视为Docker容器组件来以安全的方式解析指定的路径。解释路径的操作不会立即进行,它会“稍微延时后完成”。攻击者可以通过这个时间差修改路径,该路径最终会以root权限进行相关操作。

最新评论

轻源码让程序更轻更快

QingYuanMa.com

工作时间 周一至周六 8:00-17:30

客服QQ点击咨询

关注抖音号

定期抽VIP

Copyright © 2016-2021 https://www.qingyuanma.com/ 鲁ICP备17014494号

快速回复 返回顶部 返回列表