CVE-2021-21285
Docker daemon crash during image pull of malicious image
En resumen
Una imagen Docker malformada especialmente creada puede bloquear el daemon Docker al ser descargada, interrumpiendo operaciones de contenedores en el sistema afectado.
Detalle técnico
El daemon dockerd no valida adecuadamente manifiestos de imágenes malformados durante operaciones de pull, permitiendo que un atacante provoque denegación de servicio. La vulnerabilidad requiere la capacidad de distribuir u alojar un manifiesto de imagen malicioso que el daemon intentará descargar, resultando en la terminación del daemon.
Resumen generado y traducido por IA a partir de la descripción oficial.
In Docker before versions 9.03.15, 20.10.3 there is a vulnerability in which pulling an intentionally malformed Docker image manifest crashes the dockerd daemon. Versions 20.10.3 and 19.03.15 contain patches that prevent the daemon from crashing.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Productos afectados
moby · moby¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://docs.docker.com/engine/release-notes/#20103https://github.com/moby/moby/commit/8d3179546e79065adefa67cc697c09d0ab137d30https://github.com/moby/moby/releases/tag/v19.03.15https://github.com/moby/moby/releases/tag/v20.10.3https://github.com/moby/moby/security/advisories/GHSA-6fj5-m822-rqx8https://security.gentoo.org/glsa/202107-23https://security.netapp.com/advisory/ntap-20210226-0005/https://www.debian.org/security/2021/dsa-4865