CVE-2019-5736 est encore une autre vulnérabilité Linux découvert dans le code de conteneur Runc de base. L'outil Runc est décrit comme un poids léger, la mise en œuvre du portable Format conteneur ouvert (OCF) qui fournit l'exécution de récipient.
CVE-2019-5736 Détails techniques
La faille de sécurité affecte potentiellement plusieurs systèmes de gestion des conteneurs open source. Peu dit, la faille permet aux pirates d'obtenir non autorisés, accès à la racine du système d'exploitation hôte, échappant ainsi conteneur Linux.
En termes plus techniques, la vulnérabilité:
permet aux pirates d'écraser le binaire Runc hôte (et par conséquent obtenir un accès root hôte) en tirant parti de la capacité d'exécuter une commande en tant que racine à l'intérieur de l'un de ces types de conteneurs: (1) un nouveau conteneur avec une image contrôlée par l'attaquant, ou (2) un conteneur existant, à laquelle l'attaquant avait déjà accès en écriture, qui peut être attaché avec docker exec. Cela se produit en raison d'une mauvaise manipulation de fichiers descripteur, en rapport avec / proc / self / exe, comme expliqué dans le consultatif officiel.
La vulnérabilité CVE-2019-5736 a été mis au jour par des chercheurs de sécurité open source Adam Iwaniuk et Borys Poplawski. Cependant, il a été publiquement divulguée par Aleksa Sarai, un ingénieur logiciel senior et responsable Runc à SUSE Linux GmbH lundi.
« Je suis l'un des mainteneurs de Runc (le moteur d'exécution de récipient sous-jacent au-dessous Docker, cru, containerd, Kubernetes, etc). Nous avons récemment rapporté la vulnérabilité que nous avons vérifié et ont une
patch pour,« Vous a écrit.
Le chercheur a également dit qu'un utilisateur malveillant serait en mesure d'exécuter une commande (il n'a pas d'importance si la commande n'est pas contrôlé par l'attaquant) en tant que root dans un conteneur dans l'un de ces contextes:
– Création d'un nouveau conteneur à l'aide d'une image contrôlé par l'attaquant.
– fixation (docker exec) dans un conteneur existant que l'attaquant avait accès en écriture avant.
Il convient également de noter que la référence CVE-2019-5736 est pas bloqué par la stratégie par défaut AppArmor, ni
par la politique SELinux par défaut sur Fedora[++], en raison du fait que les processus de conteneurs semblent être en cours d'exécution comme container_runtime_t.
Cependant, la faille est bloquée par l'utilisation correcte de l'utilisateur namespaces où la racine hôte n'est pas mis en correspondance dans l'espace de noms d'utilisateur du conteneur.
CVE-2019-5736 Patch et atténuation
Red Hat dit que la faille peut être atténué lorsque SELinux est activé en mode application ciblée, une condition qui est par défaut sur RedHat Enterprise Linux, CentOS, et Fedora.
Il y a aussi un patch publié par les mainteneurs de Runc disponibles sur GitHub. S'il vous plaît noter que tous les projets qui sont basés sur Runc devraient appliquer les correctifs eux-mêmes.
Qui est touché?
Debian et Ubuntu sont vulnérables à la vulnérabilité, ainsi que des systèmes de conteneurs en cours d'exécution LXC, un outil de conteneurisation Linux avant Docker. code de conteneur Apache Mesos est également affecté.
Des sociétés telles que Google, Amazone, Docker, et Kubernetes sont ont également publié des correctifs pour la faille.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: