关键漏洞信息 漏洞标题 Shell Escape in analyzer 漏洞级别 High CVE ID CVE-2020-11075 影响版本 anchore_engine 0.7.0 修复版本 anchore_engine 0.7.1 描述 一个特制的镜像清单,从注册表获取,可用于触发在分析器环境中的shell escape漏洞,从而执行具有与运行annotre engine用户相同权限的命令。 影响 成功的攻击可用于在分析器环境中执行命令,具有与运行annotre engine用户相同的权限,包括访问凭证和数据库。 修复措施 在0.7.1版本中修复了此问题,建议0.7.0版本的用户升级到0.7.1。 修复移除了任何外部来源的shell输入路径,从而完全消除了攻击媒介。 权限要求 此操作仅能由通过annotre engine的API请求的认证用户执行,或如果被监测的镜像清单被篡改以利用相同的漏洞。 工作区 无 参考 #430 联系信息 如果有任何问题或对这个建议的评论: - 打开Anchore Engine的问题:Anchore Engine - 发送邮件到开发者列表:Developer List或关于其他安全问题发送邮件到:Anchore Security 特别感谢 感谢Gabor Matuz在发现、负责任地披露和与Anchore合作解决此问题中所做工作。(email: gabor@darumaconsulting.com)