CYBER NEWS

CVE-2019-5736 Linux Flaw in Runc Erlaubt Nicht autorisierten Root-Zugriff

CVE-2019-5736 ist noch eine andere Linux-Schwachstelle im Runc Container Code Kern entdeckt. Das Runc Werkzeug wird als leichtes beschrieben, tragbare Umsetzung des Open-Container-Format (OCF) dass bietet Laufzeit-Behälter.




CVE-2019-5736 Technische Daten

Die Sicherheitslücke betrifft potenziell mehr Open-Source-Container-Management-Systeme. Kurz gesagt, der Fehler ermöglicht es Angreifern nicht autorisiert zu bekommen, Root-Zugriff auf das Host-Betriebssystem, so entweicht Linux Container.

In mehr Fachbegriffe, die Verwundbarkeit:

Angreifer ermöglicht es dem Host Runc binär zu überschreiben (und folglich Host Rootzugriff erhalten) durch die Fähigkeit, die Nutzung eines Befehls als Wurzel innerhalb einer dieser Arten von Behältern auszuführen: (1) ein neuer Behälter mit einem Angreifer gesteuerte Bild, oder (2) ein bestehender Behälter, auf das der Angreifer zuvor Schreibzugriff, das kann mit Andockfensters exec angebracht werden. Dies geschieht, weil die Datei-Beschreiber falscher Handhabung, bezogen auf / proc / self / exe, wie in der erläuterten offizielle Beratungs.

Die CVE-2019-5736 Sicherheitslücke wurde von Open-Source-Sicherheitsforscher Adam Iwaniuk und Borys Popławski ausgegraben. Jedoch, es wurde öffentlich von Aleksa Sarai offenbart, ein Senior Software Engineer und Runc Betreuer bei SUSE Linux GmbH am Montag.

„Ich bin einer der Maintainer von Runc (die zugrunde liegende Behälter Laufzeit unter Docker, glaubte, dass es, containerd, Kubernetes, und so weiter). Wir hatten kürzlich eine Sicherheitslücke gemeldet, die wir überprüft haben, und haben ein
Patch für,„Sie werden schrieb.

Der Forscher sagte auch, dass ein böswilliger Benutzer in der Lage sein würde, jeden Befehl auszuführen (es spielt keine Rolle, wenn der Befehl nicht vom Angreifer kontrolliert wird) wie in jedem dieser Zusammenhänge innerhalb eines Behälters root:

– Erstellen eines neuen Behälter ein Angreifer kontrollierten Bild unter Verwendung von.
– Anbringen (docker exec) in einen vorhandenen Behälter, der Angreifer vorherigen Schreibzugriff mußte.

Es sollte auch beachtet werden, dass CVE-2019-5736 nicht durch die Standard AppArmor Politik blockiert, noch
von der standardmäßigen SELinux Politik auf Fedora[++], aufgrund der Tatsache, dass Containerprozesse als container_runtime_t zu laufen scheinen.

Dennoch, der Fehler wird durch die richtige Verwendung von Benutzernamensraum blockiert, wo der Host-root in den Benutzer-Namensraum des Containers nicht abgebildet wird,.

verbunden: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-14634-linux-mutagen-astronomy-vulnerability-affects-rhel-cent-os-distros/”]CVE-2018-14634: Linux Mutagen Astronomie Vulnerability Beeinflusst RHEL und Cent OS Distros

CVE-2019-5736 Patch and Mitigation

Red Hat sagt, dass der Fehler verringert werden kann, wenn SELinux in gezielten Durchsetzung Modus aktiviert ist, eine Bedingung, die auf RedHat Enterprise Linux standardmäßig kommt, CentOS, und Fedora.

Es gibt auch eine vom Maintainer Runc auf GitHub veröffentlicht Patch. Bitte beachten Sie, dass alle Projekte, die auf Runc basieren sollten die Patches selbst anwenden.

Wer ist betroffen?

Debian und Ubuntu sind anfällig für die Verwundbarkeit, sowie Behältersysteme LXC läuft, ein Linux Containerisierung Werkzeug vor Docker. Apache Mesos Container Code ist ebenfalls betroffen.

Unternehmen wie Google, Amazonas, Docker, und Kubernetes sind auch Korrekturen für den Fehler veröffentlicht.

Milena Dimitrova

Milena Dimitrova

Ein inspirierter Schriftsteller und Content-Manager, der seit Anfang an mit SensorsTechForum gewesen. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...