漏洞标题
N/A
漏洞描述信息
Docker在1.3.1之前版本以及docker-py在0.5.3之前版本当与数据库的HTTPS连接失败时,会回退到HTTP协议。这允许中间人攻击者通过利用客户端和数据库之间的网络位置进行降级攻击并获取验证和图像数据,从而阻止HTTPS流量。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Docker before 1.3.1 and docker-py before 0.5.3 fall back to HTTP when the HTTPS connection to the registry fails, which allows man-in-the-middle attackers to conduct downgrade attacks and obtain authentication and image data by leveraging a network position between the client and the registry to block HTTPS traffic.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Docker和docker-py 代码注入漏洞
漏洞描述信息
Docker是美国Docker公司的一款开源的应用容器引擎,它支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。docker-py是用于其中的一个基于Python语言的API客户端。 Docker 1.3.0及之前版本和docker-py 0.5.3及之前版本中存在安全漏洞,该漏洞源于连接到注册表的HTTPS失败时,将回退成HTTP。攻击者可通过在客户端和注册表之间限制HTTPS流量利用该漏洞实施中间人攻击和降级攻击,获取身份验证
CVSS信息
N/A
漏洞类别
代码注入