Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05502

Опубликовано: 04 окт. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость интерфейса командной строки (CLI) средства автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить произвольные учетные данные

Вендор

Fedora Project
ООО «РусБИТех-Астра»
Siemens AG
Docker Inc.
IBM Corp.
АО "НППКТ"

Наименование ПО

Fedora
Astra Linux Special Edition
SCALANCE LPE9403
Docker
IBM Spectrum Discover
ОСОН ОСнова Оnyx
IBM Robotic Process Automation

Версия ПО

34 (Fedora)
35 (Fedora)
1.7 (Astra Linux Special Edition)
до 2.0 (SCALANCE LPE9403)
до 20.10.9 (Docker)
до 2.0.4.5 (IBM Spectrum Discover)
4.7 (Astra Linux Special Edition)
до 2.9 (ОСОН ОСнова Оnyx)
до 21.0.2.3 (IBM Robotic Process Automation)

Тип ПО

Операционная система
ПО программно-аппаратного средства АСУ ТП
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Docker CLI:
https://github.com/docker/cli/security/advisories/GHSA-99pg-grm5-qq3v
https://github.com/docker/cli/commit/893e52cf4ba4b048d72e99748e0f86b2767c6c6b
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/B5Q6G6I4W5COQE25QMC7FJY3I3PAYFBB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZNFADTCHHYWVM6W4NJ6CB4FNFM2VMBIB/
Для SCALANCE LPE9403:
https://cert-portal.siemens.com/productcert/pdf/ssa-222547.pdf
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6568675
https://www.ibm.com/support/pages/node/6614449
Для ОС Astra Linux Special Edition 1.7:
обновить пакет docker.io до 24.0.2+astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения docker.io до версии 20.10.5+dfsg1-1+deb11u2.osnova8
Для Astra Linux Special Edition 4.7:
обновить пакет docker.io до 24.0.2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 32%
0.00125
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-41092

CVSS3: 5.4
ubuntu
больше 4 лет назад

Docker CLI is the command line interface for the docker container runtime. A bug was found in the Docker CLI where running `docker login my-private-registry.example.com` with a misconfigured configuration file (typically `~/.docker/config.json`) listing a `credsStore` or `credHelpers` that could not be executed would result in any provided credentials being sent to `registry-1.docker.io` rather than the intended private registry. This bug has been fixed in Docker CLI 20.10.9. Users should update to this version as soon as possible. For users unable to update ensure that any configured credsStore or credHelpers entries in the configuration file reference an installed credential helper that is executable and on the PATH.

redhat логотип

CVE-2021-41092

CVSS3: 7.5
redhat
больше 4 лет назад

Docker CLI is the command line interface for the docker container runtime. A bug was found in the Docker CLI where running `docker login my-private-registry.example.com` with a misconfigured configuration file (typically `~/.docker/config.json`) listing a `credsStore` or `credHelpers` that could not be executed would result in any provided credentials being sent to `registry-1.docker.io` rather than the intended private registry. This bug has been fixed in Docker CLI 20.10.9. Users should update to this version as soon as possible. For users unable to update ensure that any configured credsStore or credHelpers entries in the configuration file reference an installed credential helper that is executable and on the PATH.

nvd логотип

CVE-2021-41092

CVSS3: 5.4
nvd
больше 4 лет назад

Docker CLI is the command line interface for the docker container runtime. A bug was found in the Docker CLI where running `docker login my-private-registry.example.com` with a misconfigured configuration file (typically `~/.docker/config.json`) listing a `credsStore` or `credHelpers` that could not be executed would result in any provided credentials being sent to `registry-1.docker.io` rather than the intended private registry. This bug has been fixed in Docker CLI 20.10.9. Users should update to this version as soon as possible. For users unable to update ensure that any configured credsStore or credHelpers entries in the configuration file reference an installed credential helper that is executable and on the PATH.

debian логотип

CVE-2021-41092

CVSS3: 5.4
debian
больше 4 лет назад

Docker CLI is the command line interface for the docker container runt ...

github логотип

GHSA-99pg-grm5-qq3v

CVSS3: 5.4
github
больше 1 года назад

Docker CLI leaks private registry credentials to registry-1.docker.io

EPSS

Процентиль: 32%
0.00125
Низкий

7.5 High

CVSS3

7.8 High

CVSS2