CVE-2020-10665

Versões do Docker Desktop Enterprise anteriores à 2.1.0.9

Versões do Docker Desktop para Windows Stable anteriores à 2.2.0.4

Versões do Docker Desktop para Windows Edge anteriores à 2.2.2.0

Versões do LibreNMS anteriores à 1.48

A vulnerabilidade permite a escalada de privilégios locais e a gravação arbitrária de arquivos devido ao tratamento incorreto da coleta de diagnósticos com privilégios de administrador. Além disso, há um problema de validação ou codificação insuficiente das entradas fornecidas pelo usuário em scripts de gráficos, o que pode levar à injeção de sintaxe RRDtool e a vários ataques, incluindo a divulgação da estrutura de diretórios e nomes de arquivos, conteúdo de arquivos, negação de serviço ou gravação de arquivos arbitrários. O script html/graph.php e parâmetros como html/includes/graphs/common.inc.php e html/includes/graphs/graphs.inc.php são afetados.

Para versões do Docker Desktop Enterprise anteriores à 2.1.0.9, atualize para a versão 2.1.0.9 ou posterior.

Para versões do Docker Desktop para Windows Stable anteriores à 2.2.0.4, atualize para a versão 2.2.0.4 ou posterior.

Para versões do Docker Desktop para Windows Edge anteriores à 2.2.2.0, atualize para a versão 2.2.2.0 ou posterior.

Para versões do LibreNMS anteriores à 1.48, atualize para a versão 1.48 ou posterior.

Como solução alternativa temporária para o LibreNMS, considere restringir o acesso ao script html/graph.php e validar as entradas do usuário para os scripts html/includes/graphs/common.inc.php e html/includes/graphs/graphs.inc.php para evitar o RRDtool sy