CVE-2020-11075

Anchore Engine versão 0.7.0

Um manifesto de imagem de contêiner especialmente criado pode desencadear uma falha de escape de shell no serviço de análise do Anchore Engine durante um processo de análise de imagem. Isso pode ser executado por um usuário autenticado por meio de uma solicitação de API válida ao Anchore Engine, ou se uma imagem já adicionada que o Anchore está monitorando tiver seu manifesto alterado para explorar a mesma falha. Um ataque bem-sucedido pode executar comandos no ambiente do analisador com as mesmas permissões do usuário sob o qual o Anchore Engine é executado, incluindo acesso às credenciais que o Engine usa para acessar seu próprio banco de dados e ao ambiente do serviço do analisador do Engine em execução.

Para a versão 0.7.0 do Anchore Engine, atualize para a versão 0.7.1 para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso ao ambiente do serviço do analisador para minimizar o risco de exploração. Evite executar o Engine diretamente ou definir explicitamente o usuário como ‘root’ para impedir acesso com privilégios elevados.