Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-01697: Уязвимость инструмента для запуска изолированных контейнеров Runc, связанная с одновременным выполнением с использованием общего ресурса с неправильной синхронизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость инструмента для запуска изолированных контейнеров Runc связана с ошибкой отслеживания дополнительных процессов контейнера с помощью pid 1 контейнера. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор	Fedora Project, Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Docker Inc.
Наименование ПО	Fedora, Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Runc
Версия ПО	24 (Fedora) 25 (Fedora) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 10.0 (Debian GNU/Linux) от 1.11.0 до 1.12.6 (Runc)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Fedora Project Fedora 24 IA-32 Fedora Project Fedora 25 IA-32 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Тип ошибки	Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки»)
Идентификатор типа ошибки	CWE-362
Класс уязвимости	Уязвимость кода
Дата выявления	31.01.2017
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:M/Au:N/C:P/I:P/A:P CVSS 3.0: AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,4)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Runc: Обновление программного обеспечения до 0.1.1+dfsg1-2 или более поздней версии Для Debian: Обновление программного обеспечения (пакета docker.io) до 0.1.1+dfsg1-2+deb9u2 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета docker.io) до 0.1.1+dfsg1-2+deb9u2 или более поздней версии Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BQAXJMMLRU7DD2IMG47SR2K4BOFFG7FZ/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FINGBFMIXBG6B6ZWYH3TMRP5V3PDBNXR/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UVM7FCOQMPKOFLDTUYSS4ES76DDM56VP/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WUQ3MQNEL5IBZZLMLR72Q4YDCL2SCKRK/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование сроками и состоянием
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/docker/docker/releases/tag/v1.12.6 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BQAXJMMLRU7DD2IMG47SR2K4BOFFG7FZ/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FINGBFMIXBG6B6ZWYH3TMRP5V3PDBNXR/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UVM7FCOQMPKOFLDTUYSS4ES76DDM56VP/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WUQ3MQNEL5IBZZLMLR72Q4YDCL2SCKRK/ https://nvd.nist.gov/vuln/detail/CVE-2016-9962 https://security-tracker.debian.org/tracker/CVE-2016-9962
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2016-9962
Прочая информация	Данные уточняются

Последние изменения