漏洞标题
N/A
漏洞描述信息
**争议** Docker的SwarmKit工具包1.12.0允许远程授权用户通过长的一系列连接和退出操作来导致拒绝服务(防止集群加入)。注意:供应商对这个问题提出了争议,表示这个序列并没有“删除旧节点留下的状态。在某个时候,管理器显然无法接受新节点,因为它内存不足。考虑到Docker swarm和Docker Swarmkit节点都*必须*提供密钥令牌(实际上是操作的唯一方式),这意味着没有对手可以简单地加入节点并耗尽管理器资源。我们无法改变管理器内存不足且无法将合法节点添加到系统中的情况。这只是资源配置问题,绝对不是CVE相关漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The SwarmKit toolkit 1.12.0 for Docker allows remote authenticated users to cause a denial of service (prevention of cluster joins) via a long sequence of join and quit actions. NOTE: the vendor disputes this issue, stating that this sequence is not "removing the state that is left by old nodes. At some point the manager obviously stops being able to accept new nodes, since it runs out of memory. Given that both for Docker swarm and for Docker Swarmkit nodes are *required* to provide a secret token (it's actually the only mode of operation), this means that no adversary can simply join nodes and exhaust manager resources. We can't do anything about a manager running out of memory and not being able to add new legitimate nodes to the system. This is merely a resource provisioning issue, and definitely not a CVE worthy vulnerability.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Docker SwarmKit toolkit 安全漏洞
漏洞描述信息
Docker是美国Docker公司的一款开源的应用容器引擎,它支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。SwarmKit toolkit是其中的一个用于以任何规模编排分布式系统的工具包。 Docker SwarmKit toolkit 1.12.0版本中存在安全漏洞。远程攻击者可通过执行大量的连接和中断操作利用该漏洞造成拒绝服(阻碍集群连接)。
CVSS信息
N/A
漏洞类别
资源管理错误