新的Docker版本解决了关键错误,请立即更新

如果你’重新使用Docker(几乎可在几乎任何平台上构建,交付和运行分布式应用程序的开源平台),请确保将其更新至最新版本(v1.3.2),因为以前的所有版本都存在可能被攻击者滥用的严重错误。为了获得更高的特权,可以远程执行恶意代码。

该更新于周一发布–适用于所有支持的平台–可以拿起 这里 .

“在1.1.3版及以下版本的Docker引擎在此期间很容易将文件提取到主机上的任意路径“docker pull’ and “docker load’操作。这是由Docker中存在的符号链接和硬链接遍历引起的’s image extraction,”该软件背后的公司在一个 安全咨询.

“Docker 1.3.2纠正了此漏洞。已将其他检查添加到pkg / archive中,现在可以在chroot中执行图像提取。较旧版本的Docker没有可用的补救措施,建议用户进行升级,” they urged.

最新版本还解决了可能导致容器升级的严重错误,并包括其他几处更改,这些更改将提高可用性。

特权升级漏洞(CVE-2014-6407)的发现归因于Red Hat安全团队的Florian Weimer和独立研究人员Tõnis Tiigi.

分享这个