研究人员披露Docker中未修复的竞争条件漏洞,该漏洞影响了所有的Docker版本。该漏洞类似于CVE-2018-15664,可允许攻击者在指定的程序对资源进行操作之前修改资源路径,从而可能获得任意文件的读写访问权限,这被称为TOCTOU类型的bug。该漏洞的核心源于FollowSymlinkInScope功能易受TOCTOU攻击。研究人员已经发布了PoC代码。
原文链接:
https://www.bleepingcomputer.com/news/security/unpatched-flaw-affects-all-docker-versions-exploits-ready/
评论已关闭。