forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в runc и LXC, затрагивающая Docker и другие систе..."
Отправлено opennews, 11-Фев-19 23:33

В runc (https://github.com/opencontainers/runc), инструментарии для запуска изолированных контейнеров, выявлена (https://seclists.org/oss-sec/2019/q1/119) критическая уязвимость (CVE-2019-5736 (https://security-tracker.debian.org/tracker/CVE-2019-5736)), позволяющая из подготовленного злоумышленником изолированного контейнера подменить исполняемый файл runc и получить root-привилегии на стороне хост-системы. Уязвимость затрагивает все системы контейнерной изоляции, использующие runtime runc, включая Docker, cri-o, containerd, Kubernetes, Podman и flatpak (https://github.com/flatpak/flatpak/releases/tag/1.2.3). Также отмечается, что аналогичная уязвимость присутствует в инструментариях LXC и Apache Mesos.

Суть (https://www.redhat.com/en/blog/it-starts-linux-how-red-hat-h...) уязвимости в возможности запуска исполняемого файла runc внутри контейнера, но его исполнения в контексте хост-системы. Например, атакующий может заменить /bin/bash в контейнере на скрипт, вызывающий /proc/self/exe, который ссылается на исполняемый файл runc. При выполнении "docker exec" и запуске runtime-ом подменённого /bin/bash будет выполнен файл, на который ссылается /proc/self/exe, а именно runc на стороне хоста. После этого атакующий может через модификацию /proc/self/exe внести изменение в исполняемый файл runc на стороне хост-системы.
Для проведения атаки требуется выполнение пользователем с правами root операции создания нового контейнера на основе подготовленного атакующим образа или подключения к существующему контейнеру (достаточно выполнения "docker exec"), к которому ранее атакующий имел доступ на запись. Проблема не блокируется профилем по умолчанию AppArmor и правилами SELinux в Fedora (процессы контейнера запускаются в контексте container_runtime_t). При этом проблема не проявляется при корректном использованием пространств имён идентификаторов пользователя (user namespaces) или при использовании режима "enforcing" SELinux в RHEL.
Уязвимость уже устранена в RHEL, Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1674489), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...) и SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-5736), но остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-5736). Решающие проблему патчи подготовлены для runc (https://github.com/opencontainers/runc/commit/0a8e4117e7f715...) и LXC (https://github.com/lxc/lxc/commit/6400238d08cdf1ca20d49bafb8...). Рабочий прототип эксплоита планируют опубликовать 18 февраля.
URL: https://seclists.org/oss-sec/2019/q1/119
Новость: https://www.opennet.ru/opennews/art.shtml?num=50130

Исходное сообщение
"Уязвимость в runc и LXC, затрагивающая Docker и другие систе..." Отправлено opennews, 11-Фев-19 23:33
В runc (https://github.com/opencontainers/runc), инструментарии для запуска изолированных контейнеров, выявлена (https://seclists.org/oss-sec/2019/q1/119) критическая уязвимость (CVE-2019-5736 (https://security-tracker.debian.org/tracker/CVE-2019-5736)), позволяющая из подготовленного злоумышленником изолированного контейнера подменить исполняемый файл runc и получить root-привилегии на стороне хост-системы. Уязвимость затрагивает все системы контейнерной изоляции, использующие runtime runc, включая Docker, cri-o, containerd, Kubernetes, Podman и flatpak (https://github.com/flatpak/flatpak/releases/tag/1.2.3). Также отмечается, что аналогичная уязвимость присутствует в инструментариях LXC и Apache Mesos. Суть (https://www.redhat.com/en/blog/it-starts-linux-how-red-hat-h...) уязвимости в возможности запуска исполняемого файла runc внутри контейнера, но его исполнения в контексте хост-системы. Например, атакующий может заменить /bin/bash в контейнере на скрипт, вызывающий /proc/self/exe, который ссылается на исполняемый файл runc. При выполнении "docker exec" и запуске runtime-ом подменённого /bin/bash будет выполнен файл, на который ссылается /proc/self/exe, а именно runc на стороне хоста. После этого атакующий может через модификацию /proc/self/exe внести изменение в исполняемый файл runc на стороне хост-системы. Для проведения атаки требуется выполнение пользователем с правами root операции создания нового контейнера на основе подготовленного атакующим образа или подключения к существующему контейнеру (достаточно выполнения "docker exec"), к которому ранее атакующий имел доступ на запись. Проблема не блокируется профилем по умолчанию AppArmor и правилами SELinux в Fedora (процессы контейнера запускаются в контексте container_runtime_t). При этом проблема не проявляется при корректном использованием пространств имён идентификаторов пользователя (user namespaces) или при использовании режима "enforcing" SELinux в RHEL. Уязвимость уже устранена в RHEL, Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1674489), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...) и SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-5736), но остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-5736). Решающие проблему патчи подготовлены для runc (https://github.com/opencontainers/runc/commit/0a8e4117e7f715...) и LXC (https://github.com/lxc/lxc/commit/6400238d08cdf1ca20d49bafb8...). Рабочий прототип эксплоита планируют опубликовать 18 февраля. URL: https://seclists.org/oss-sec/2019/q1/119 Новость: https://www.opennet.ru/opennews/art.shtml?num=50130

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В runc (https://github.com/opencontainers/runc), инструментарии для запуска изолированных 
> контейнеров, выявлена (https://seclists.org/oss-sec/2019/q1/119) критическая уязвимость 
> (CVE-2019-5736 (https://security-tracker.debian.org/tracker/CVE-2019-5736)), позволяющая 
> из подготовленного злоумышленником изолированного контейнера подменить исполняемый 
> файл runc и получить root-привилегии на стороне хост-системы. Уязвимость затрагивает все 
> системы контейнерной изоляции, использующие runtime runc, включая Docker, cri-o, containerd, 
> Kubernetes, Podman и flatpak (https://github.com/flatpak/flatpak/releases/tag/1.2.3). 
> Также отмечается, что аналогичная уязвимость присутствует в инструментариях LXC и Apache 
> Mesos.

> Суть (https://www.redhat.com/en/blog/it-starts-linux-how-red-hat-helping-counter-linux-container-security-flaws) 
> уязвимости в возможности запуска исполняемого файла runc внутри контейнера, но его 
> исполнения в контексте хост-системы. Например, атакующий может заменить /bin/bash в контейнере 
> на скрипт, вызывающий /proc/self/exe, который ссылается на исполняемый файл runc. При 
> выполнении "docker exec" и запуске runtime-ом подменённого /bin/bash будет выполнен файл, 
> на который ссылается /proc/self/exe, а именно runc на стороне хоста. После 
> этого атакующий может через модификацию /proc/self/exe внести изменение в исполняемый 
> файл runc на стороне хост-системы.

> Для проведения атаки требуется выполнение пользователем с правами root операции создания 
> нового контейнера на основе подготовленного атакующим образа или подключения к существующему 
> контейнеру (достаточно выполнения "docker exec"), к которому ранее атакующий имел доступ 
> на запись. Проблема не блокируется профилем по умолчанию AppArmor и правилами 
> SELinux в Fedora (процессы контейнера запускаются в контексте container_runtime_t). При 
> этом проблема не проявляется при корректном использованием пространств имён идентификаторов 
> пользователя (user namespaces) или при использовании режима  "enforcing" SELinux в 
> RHEL.

> Уязвимость уже устранена в RHEL, Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1674489), 
> Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-5736.html) 
> и SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-5736), но остаётся неисправленной 
> в Debian (https://security-tracker.debian.org/tracker/CVE-2019-5736). Решающие проблему 
> патчи подготовлены для runc (https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b) 
> и LXC (https://github.com/lxc/lxc/commit/6400238d08cdf1ca20d49bafb85f4e224348bf9d). 
> Рабочий прототип эксплоита планируют опубликовать 18 февраля.

> URL: https://seclists.org/oss-sec/2019/q1/119 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50130

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру