Vulnérabilité dans Containerd (ContainerDrip)
Date de publication :
Une vulnérabilité a été découverte dans Containderd, un “container runtime” issu du projet Docker. Elle peut permettre à un attaquant de provoquer une fuite d’informations.
CVE-2020-15157 [Score CVSS v3 : 6.1] : Une vulnérabilité a été découverte dans Containerd versions 1.2.x. Elle peut permettre à un attaquant distant de provoquer une fuite d’informations sensibles via l’utilisation d’une image spécialement conçue.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Fuite d’informations sensibles
Criticité
- Score CVSS v3 : 6.1
Existence d’un code d’exploitation
- Des preuves de concept sont disponibles publiquement
Composants vulnérables
- Containerd versions 1.2.x avant la version 1.2.14. Les versions 1.3.x et 1.4.x ne sont pas affectées par cette vulnérabilité.
CVE
- CVE-2020-15157
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Containerd vers la version 1.2.14 ou passer sur une version 1.3.x ou 1.4.x. Les versions 1.2.x ne sont plus supportées depuis le 15 octobre.
Solution de contournement
Aucune solution de contournement