The Red Hat docker package before 1.5.0-28, when using the --add-registry option, falls back to HTTP when the HTTPS connection to the registry fails, which allows man-in-the-middle attackers to conduct downgrade attacks and obtain authentication and image data by leveraging a network position between the client and the registry to block HTTPS traffic. NOTE: this vulnerability exists because of a CVE-2014-5277 regression.
Score CVSS v2.0
4.3
/ 10.0
MEDIUM
AV:N/AC:M/Au:N/C:N/I:P/A:N
Informations
- Publié
- 6 avr. 2015
- Mis à jour
- 12 avr. 2025
- Statut
- Deferred
- Source
- secalert@redhat.com
Produits affectés
redhat dockerToutes les CVE Docker →
Versions : 1.5.0-27
Faiblesses (CWE)
CWE-20
Références (6)
- http://rhn.redhat.com/errata/RHSA-2015-0776.htmlVendor Advisory
- http://rhn.redhat.com/errata/RHSA-2015-0776.htmlVendor Advisory
CVEs similaires
Autres vulnérabilités de type CWE-20
Loading…
Surveillez vos produits
Recevez une alerte automatique à chaque nouvelle CVE affectant vos équipements.