CVE-2019-5736 ist noch eine andere Linux-Schwachstelle im Runc Container Code Kern entdeckt. Das Runc Werkzeug wird als leichtes beschrieben, tragbare Umsetzung des Open-Container-Format (OCF) dass bietet Laufzeit-Behälter.
CVE-2019-5736 Technische Daten
Die Sicherheitslücke betrifft potenziell mehr Open-Source-Container-Management-Systeme. Kurz gesagt, der Fehler ermöglicht es Angreifern nicht autorisiert zu bekommen, Root-Zugriff auf das Host-Betriebssystem, so entweicht Linux Container.
In mehr Fachbegriffe, die Verwundbarkeit:
Angreifer ermöglicht es dem Host Runc binär zu überschreiben (und folglich Host Rootzugriff erhalten) durch die Fähigkeit, die Nutzung eines Befehls als Wurzel innerhalb einer dieser Arten von Behältern auszuführen: (1) ein neuer Behälter mit einem Angreifer gesteuerte Bild, oder (2) ein bestehender Behälter, auf das der Angreifer zuvor Schreibzugriff, das kann mit Andockfensters exec angebracht werden. Dies geschieht, weil die Datei-Beschreiber falscher Handhabung, bezogen auf / proc / self / exe, wie in der erläuterten offizielle Beratungs.
Die CVE-2019-5736 Sicherheitslücke wurde von Open-Source-Sicherheitsforscher Adam Iwaniuk und Borys Popławski ausgegraben. Jedoch, es wurde öffentlich von Aleksa Sarai offenbart, ein Senior Software Engineer und Runc Betreuer bei SUSE Linux GmbH am Montag.
„Ich bin einer der Maintainer von Runc (die zugrunde liegende Behälter Laufzeit unter Docker, glaubte, dass es, containerd, Kubernetes, und so weiter). Wir hatten kürzlich eine Sicherheitslücke gemeldet, die wir überprüft haben, und haben ein
Patch für,„Sie werden schrieb.
Der Forscher sagte auch, dass ein böswilliger Benutzer in der Lage sein würde, jeden Befehl auszuführen (es spielt keine Rolle, wenn der Befehl nicht vom Angreifer kontrolliert wird) wie in jedem dieser Zusammenhänge innerhalb eines Behälters root:
– Erstellen eines neuen Behälter ein Angreifer kontrollierten Bild unter Verwendung von.
– Anbringen (docker exec) in einen vorhandenen Behälter, der Angreifer vorherigen Schreibzugriff mußte.
Es sollte auch beachtet werden, dass CVE-2019-5736 nicht durch die Standard AppArmor Politik blockiert, noch
von der standardmäßigen SELinux Politik auf Fedora[++], aufgrund der Tatsache, dass Containerprozesse als container_runtime_t zu laufen scheinen.
Dennoch, der Fehler wird durch die richtige Verwendung von Benutzernamensraum blockiert, wo der Host-root in den Benutzer-Namensraum des Containers nicht abgebildet wird,.
CVE-2019-5736 Patch and Mitigation
Red Hat sagt, dass der Fehler verringert werden kann, wenn SELinux in gezielten Durchsetzung Modus aktiviert ist, eine Bedingung, die auf RedHat Enterprise Linux standardmäßig kommt, CentOS, und Fedora.
Es gibt auch eine vom Maintainer Runc auf GitHub veröffentlicht Patch. Bitte beachten Sie, dass alle Projekte, die auf Runc basieren sollten die Patches selbst anwenden.
Wer ist betroffen?
Debian und Ubuntu sind anfällig für die Verwundbarkeit, sowie Behältersysteme LXC läuft, ein Linux Containerisierung Werkzeug vor Docker. Apache Mesos Container Code ist ebenfalls betroffen.
Unternehmen wie Google, Amazonas, Docker, und Kubernetes sind auch Korrekturen für den Fehler veröffentlicht.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: