CVE-2019-5736 er endnu en Linux sårbarhed opdaget i kernen runC containerkoden. Den runC Værktøjet er beskrevet som en letvægts, bærbare gennemførelsen af den åbne container format (OCF) der giver container runtime.
CVE-2019-5736 Tekniske Specifikationer
Den sikkerhedsfejl potentielt påvirker flere open source beholder management systemer. Kort sagt, fejlen muligt for hackere at få uautoriseret, root-adgang til det operativsystem, således undslippe Linux container.
I mere tekniske termer, sårbarheden:
muligt for hackere at overskrive værten runc binære (og dermed opnå vært root adgang) ved at udnytte evnen til at udføre en kommando som root under en af disse typer af beholdere: (1) en ny beholder med en hacker-kontrollerede billede, eller (2) en eksisterende beholder, som angriberen tidligere havde skriveadgang, der kan fastgøres med havnearbeider exec. Dette sker på grund af fil-deskriptor mishandling, relateret til / proc / self / exe, som forklaret i det officielle rådgivende.
Den CVE-2019-5736 sårbarheden blev udgravet af open source-sikkerhed forskere Adam Iwaniuk og Borys Poplawski. Men, det blev offentligt kendt af Aleksa Sarai, en ledende software ingeniør og runC vedligeholder på SUSE Linux GmbH mandag.
”Jeg er en af de vedligeholdere af runc (den underliggende beholder runtime nedenunder Docker, troede det, containerd, Kubernetes, og så videre). Vi havde for nylig en sårbarhed rapporteret som vi har bekræftet og har en
patch til,"Du vil blive skrev.
Forskeren sagde også, at en ondsindet bruger ville være i stand til at køre nogen kommando (det gør ikke noget, hvis kommandoen er ikke hacker-kontrollerede) som root i en beholder i en af disse sammenhænge:
– Oprettelse af en ny beholder ved hjælp af en hacker-kontrollerede billede.
– Montering (havnearbejder exec) i en eksisterende beholder, der angriberen havde tidligere skriveadgang til.
Det skal også bemærkes, at CVE-2019-5736 ikke er blokeret af standard AppArmor politik, heller ikke
som standard SELinux politik på Fedora[++], skyldes, at containerskibe processer synes at køre som container_runtime_t.
Ikke desto mindre, revnen er blokeret med korrekt indstilling af brugernes navnerum hvor værten rod ikke mappes ind beholderens brugeren namespace.
CVE-2019-5736 Patch og Mitigation
Red Hat siger, at fejlen kan afhjælpes, når SELinux er aktiveret i målrettet håndhæve tilstand, en tilstand, der kommer som standard på RedHat Enterprise Linux, CentOS, og Fedora.
Der er også en patch frigivet af vedligeholdere af runC rådighed på GitHub. Bemærk venligst at alle projekter, der er baseret på runC bør anvende patches selv.
Hvem Påvirket?
Debian og Ubuntu er sårbare over for sårbarheden, samt container systemer, der kører LXC, en Linux containere værktøj før Docker. Apache Mesos container kode påvirkes også.
Virksomheder som Google, Amazon, Docker, og Kubernetes er har også udgivet rettelser til fejl.