製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

LXC におけるコンテナから脱出される脆弱性

タイトル	LXC におけるコンテナから脱出される脆弱性
概要	Linux Containers (LXC) は、lxc-attach を用いてプログラムを実行する場合、nonpriv セッションが TIOCSTI ioctl を使用してターミナルの入力バッファに文字を入れ込むことで親セッションへのエスケープが可能であるため、コンテナから脱出される脆弱性が存在します。
想定される影響	攻撃者により、コンテナから脱出される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年2月23日0:00
登録日	2017年1月17日17:34
最終更新日	2017年1月17日17:34

CVSS3.0 : 重要
スコア	8.6
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:P/A:N

影響を受けるシステム

Linux Containers

LXC 2016-02-22 より前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-10124	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10124
National Vulnerability Database (NVD)
2	CVE-2016-10124	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10124

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-284	https://cwe.mitre.org/data/definitions/284.html

ベンダー情報

No	名前	URL
GitHub
1	update lxc-attach manpage	https://github.com/lxc/lxc/commit/e986ea3dfa4a2957f71ae9bfaed406dd6e1ffff6

変更履歴

No	変更内容	変更日
0	[2017年01月17日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-10124

概要	An issue was discovered in Linux Containers (LXC) before 2016-02-22. When executing a program via lxc-attach, the nonpriv session can escape to the parent session by using the TIOCSTI ioctl to push characters into the terminal's input buffer, allowing an attacker to escape the container.
公表日	2017年1月9日17:59
登録日	2021年1月26日14:05
最終更新日	2024年11月21日11:43

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:linuxcontainers:lxc::rc1::::::*			2.0.0

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.openwall.com/lists/oss-security/2014/12/15/5
2	http://www.openwall.com/lists/oss-security/2014/12/15/5
3	http://www.openwall.com/lists/oss-security/2015/09/03/5
4	http://www.openwall.com/lists/oss-security/2015/09/03/5
5	http://www.securityfocus.com/bid/95404
6	http://www.securityfocus.com/bid/95404
7	https://github.com/lxc/lxc/commit/e986ea3dfa4a2957f71ae9bfaed406dd6e1ffff6		Issue Tracking Patch Third Party Advisory
8	https://github.com/lxc/lxc/commit/e986ea3dfa4a2957f71ae9bfaed406dd6e1ffff6		Issue Tracking Patch Third Party Advisory
9	https://security.gentoo.org/glsa/201711-09
10	https://security.gentoo.org/glsa/201711-09

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html