Vulnérabilité dans Containerd (ContainerDrip)
Date de publication :
Une vulnérabilité a été découverte dans Containderd, un “container runtime” issu du projet Docker. Elle peut permettre à un attaquant de provoquer une fuite d’informations.
CVE-2020-15157 [Score CVSS v3 : 6.1] : Une vulnérabilité a été découverte dans Containerd versions 1.2.x. Elle peut permettre à un attaquant distant de provoquer une fuite d’informations sensibles via l’utilisation d’une image spécialement conçue.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Fuite d’informations sensibles
Criticité
Score CVSS v3 : 6.1
Existence d’un code d’exploitation
Des preuves de concept sont disponibles publiquement
Composants vulnérables
Containerd versions 1.2.x avant la version 1.2.14. Les versions 1.3.x et 1.4.x ne sont pas affectées par cette vulnérabilité.
CVE
CVE-2020-15157
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Containerd vers la version 1.2.14 ou passer sur une version 1.3.x ou 1.4.x. Les versions 1.2.x ne sont plus supportées depuis le 15 octobre.
Solution de contournement
Aucune solution de contournement