CVE-2019-5736 es otra vulnerabilidad Linux descubierto en el código de contenedor núcleo Runc. La herramienta Runc se describe como un peso ligero, aplicación portátil del formato abierto de contenedores (OCF) que proporciona tiempo de ejecución envase.
CVE-2019-5736 Detalles técnicos
La falla de seguridad potencialmente afecta a varios sistemas de gestión de contenedores de código abierto. Poco dicho, la falla permite a los atacantes consiguen no autorizada, el acceso root en el sistema operativo anfitrión, escapando así contenedor de Linux.
En términos más técnicos, la vulnerabilidad:
permite a atacantes sobreescribir el binario Runc anfitrión (y en consecuencia obtener acceso root anfitrión) mediante el aprovechamiento de la capacidad de ejecutar un comando como root dentro de uno de estos tipos de contenedores: (1) un nuevo recipiente con una imagen controlado por el atacante, o (2) un contenedor existente, a la que el atacante tenía previamente el acceso de escritura, que se puede unir con exec ventana acoplable. Esto ocurre debido a mal manejo de archivos de descriptor, relacionada con / proc / self / exe, como se explica en el asesor oficial.
La vulnerabilidad CVE-2019-5736 fue descubierto por los investigadores de seguridad de código abierto Adam Iwaniuk y Borys Popławski. Sin embargo, se dio a conocer públicamente por Aleksa Sarai, un ingeniero de software senior y mantenedor Runc en SUSE Linux GmbH el lunes.
“Soy uno de los mantenedores de Runc (el tiempo de ejecución de contenedores que subyace debajo del estibador, creído, containerd, Kubernetes, y así). Hemos tenido recientemente una vulnerabilidad que hemos verificado y tienen una
parche para,"Usted será escribió.
El investigador también dijo que un usuario malintencionado podría ser capaz de ejecutar cualquier comando (no importa si el comando no es controlado por el atacante) como root dentro de un contenedor en cualquiera de estos contextos:
– Creación de un nuevo contenedor utilizando una imagen controlado por el atacante.
– Colocación (exec ventana acoplable) en un contenedor existente que el atacante tenía acceso a escritura previa.
También hay que señalar que CVE-2019 a 5736 no está bloqueado por la política por defecto AppArmor, ni
por la política de SELinux por defecto en Fedora[++], debido al hecho de que los procesos de contenedor parecen estar funcionando como container_runtime_t.
No obstante, la falla está bloqueada en el correcto uso de los espacios de nombres de usuario, donde la raíz principal no está asignada en espacio de nombres de usuario del contenedor.
Parche CVE-2019-5736 y Mitigación
Red Hat dice que la falla puede ser mitigado cuando SELinux está activado en modo obligatorio dirigido, una condición que viene por defecto en RedHat Enterprise Linux, CentOS, y Fedora.
También hay un parche proporcionado por los mantenedores de Runc disponibles en GitHub. Tenga en cuenta que todos los proyectos que se basan en Runc deben aplicar los parches mismos.
A quién afecta?
Debian y Ubuntu son vulnerables a la vulnerabilidad, así como sistemas de contenedores que se ejecutan LXC, una herramienta de contenedores Linux anteriores a acoplable. código de contenedor Apache Mesos también se ve afectada.
Compañías como Google, Amazonas, Estibador, y Kubernetes también se han dado a conocer soluciones para la falla.