Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en un manifiesto de imagen de contenedor en una petición API en el servicio del analizador de Anchore Engine (CVE-2020-11075)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/05/2020
Última modificación:
03/06/2020

Descripción

En Anchore Engine versión 0.7.0, un manifiesto de imagen de contenedor especialmente diseñado, extraído de un registro, puede ser utilizado para desencadenar un fallo de escape del shell en el servicio del analizador de anchore engine durante un proceso de análisis de imagen. La operación de análisis de imagen solo puede ser ejecutada por un usuario autenticado por medio de una petición de API válida al anchore engine, o si una imagen ya agregada que anchore está monitoreando tiene su manifiesto alterado para explotar el mismo fallo. Un ataque con éxito puede ser utilizado para ejecutar comandos que son realizados en el entorno del analizador, con los mismos permisos que el usuario que ejecuta anchore engine, incluido el acceso a las credenciales que usa Engine para acceder a su propia base de datos que tiene capacidad de lectura y escritura, así como también acceso al entorno de servicio del analizador de engine en ejecución. Por defecto, Anchore Engine es iniciado y se despliega como un contenedor donde el usuario no es root, pero si los usuarios ejecutan Engine directa o explícitamente configuran al usuario como "root", entonces ese nivel de acceso puede ser alcanzado en el entorno de ejecución donde se ejecuta Engine. Este problema es corregido en la versión 0.7.1.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.90
Gravedad 3.x
CRÍTICA
Vector 2.0
AV:N/AC:L/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:anchore:engine:0.7.0:-:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información