PT-2020-13983 · Containers+6 · Podman+6

Guilherme De Almeida Suckevicz

·

Publicado

2020-09-10

·

Atualizado

2024-06-15

·

CVE-2020-14370

CVSS v3.1

5.3

Média

VetorAV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do containers/podman anteriores à 2.0.5
Descrição
Foi detectada uma falha de divulgação de informações no containers/podman. Ao utilizar a API Varlink (obsoleta) ou a API REST compatível com Docker, variáveis de ambiente do primeiro contêiner podem vazar para contêineres subsequentes criados em um curto intervalo de tempo. Isso poderia permitir que um invasor com controle sobre os contêineres subsequentes acessasse informações confidenciais armazenadas nessas variáveis.
Recomendações
Para versões anteriores à 2.0.5, atualize para a versão 2.0.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir a criação de vários contêineres em um curto período de tempo para minimizar o risco de exploração. Evite usar a API Varlink obsoleta ou a API REST compatível com Docker para criar contêineres até que o problema seja resolvido.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-212

Identificadores relacionados

ALSA-2021:0531
ALT-PU-2020-2753
ALT-PU-2020-2863
ALT-PU-2022-1252
CESA-2021_0531
CVE-2020-14370
GHSA-C3WV-QMJJ-45R6
GO-2024-2766
OPENSUSE-SU-2020:2039-1
OPENSUSE-SU-2020:2063-1
OPENSUSE-SU-2020_2039-1
OPENSUSE-SU-2020_2063-1
OPENSUSE-SU-2022:23018-1
OPENSUSE-SU-2022_23018-1
OPENSUSE-SU-2024:11177-1
OPENSUSE-SU-2024:11757-1
RHSA-2020:4297
RHSA-2020:5056
RHSA-2021:0531
RHSA-2021_0531
RLSA-2021:0531
SUSE-SU-2020:3378-1
SUSE-SU-2020_3378-1
SUSE-SU-2022:23018-1
SUSE-SU-2022:3312-1

Produtos afetados

Alt Linux
Almalinux
Centos
Red Hat
Rocky Linux
Suse
Podman