低危 Podman身份验证问题漏洞

CVE编号

CVE-2020-1726

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-02-12

漏洞描述

Podman是一款用于在Linux系统上开发、管理和运行OCI容器的引擎。 Podman 1.6.0版本中存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：https://github.com/containers/libpod/pull/5168

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00097.html
http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00103.html
https://access.redhat.com/errata/RHSA-2020:0680
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1726

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	libpod_project	libpod	1.6.0	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.3	-
	运行在以下环境
	系统	alpine_3.14	podman	*		Up to (excluding) 1.8.1-r0
	运行在以下环境
	系统	alpine_3.15	podman	*		Up to (excluding) 1.8.1-r0
	运行在以下环境
	系统	alpine_3.16	podman	*		Up to (excluding) 1.8.1-r0
	运行在以下环境
	系统	alpine_3.17	podman	*		Up to (excluding) 1.8.1-r0
	运行在以下环境
	系统	alpine_3.18	podman	*		Up to (excluding) 1.8.1-r0
	运行在以下环境
	系统	alpine_edge	podman	*		Up to (excluding) 1.8.1-r0
	运行在以下环境
	系统	centos_8	fuse-overlayfs-debuginfo	*		Up to (excluding) 1.0.0-65.rc10.module+el8.2.0+5762+aaee29fb
	运行在以下环境
	系统	debian_11	libpod	*		Up to (excluding) 1.6.4+dfsg1-3
	运行在以下环境
	系统	debian_12	libpod	*		Up to (excluding) 1.6.4+dfsg1-3
	运行在以下环境
	系统	debian_sid	libpod	*		Up to (excluding) 1.6.4+dfsg1-3
	运行在以下环境
	系统	opensuse_Leap_15.1	podman-cni-config	*		Up to (excluding) 20200727-lp151.2.10.1
	运行在以下环境
	系统	opensuse_Leap_15.2	podman-cni-config	*		Up to (excluding) 1.1.2-lp152.2.3.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 1.11.6-7.0.1.module+el8.2.0+5584+b2b2d3fb
	运行在以下环境
	系统	redhat_8	fuse-overlayfs-debuginfo	*		Up to (excluding) 1.0.0-65.rc10.module+el8.2.0+5762+aaee29fb

阿里云评分 2.7

• 攻击路径 远程
• 攻击复杂度 困难
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-552	对外部实体的文件或目录可访问

Exp相关链接

- avd.aliyun.com