CVE-2014-5277

Опубликовано: 30 окт. 2014

Источник: redhat

CVSS2: 5.1

EPSS Низкий

Уязвимость понижения уровня безопасности (downgrade attack) в Docker и docker-py, вызванная переходом на HTTP при сбое HTTPS-подключения к реестру

Описание

Обнаружена уязвимость в Docker и docker-py. При сбое HTTPS-подключения к реестру система откатывается на использование HTTP. Это позволяет злоумышленникам, выполняющим атаку типа "человек посередине" (man-in-the-middle), проводить атаки понижения уровня безопасности (downgrade attack) и получать данные аутентификации и образов, блокируя HTTPS-трафик между клиентом и реестром.

Затронутые версии ПО

Docker до версии 1.3.1
docker-py до версии 0.5.3

Тип уязвимости

Понижение уровня безопасности
Перехват данных

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 7	docker	Affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-300->CWE-494

https://bugzilla.redhat.com/show_bug.cgi?id=1164849docker: fallback to HTTP when HTTPS connections to the registry fail

EPSS

Процентиль: 71%

0.00699

Низкий

5.1 Medium

CVSS2

Связанные уязвимости

CVE-2014-5277

ubuntu

больше 10 лет назад

Docker before 1.3.1 and docker-py before 0.5.3 fall back to HTTP when the HTTPS connection to the registry fails, which allows man-in-the-middle attackers to conduct downgrade attacks and obtain authentication and image data by leveraging a network position between the client and the registry to block HTTPS traffic.

CVE-2014-5277

nvd

больше 10 лет назад

CVE-2014-5277

msrc

почти 4 года назад

Описание отсутствует

CVE-2014-5277

debian

больше 10 лет назад

Docker before 1.3.1 and docker-py before 0.5.3 fall back to HTTP when ...

GHSA-8w94-cf6g-c8mg

CVSS3: 5.3

github

больше 3 лет назад

Man-in-the-Middle (MitM)

EPSS

Процентиль: 71%

0.00699

Низкий

5.1 Medium

CVSS2