CYBER NOUVELLES

CVE-2019-5736 Linux dans Runc Flaw Permet un accès non autorisé Root

CVE-2019-5736 est encore une autre vulnérabilité Linux découvert dans le code de conteneur Runc de base. L'outil Runc est décrit comme un poids léger, la mise en œuvre du portable Format conteneur ouvert (OCF) qui fournit l'exécution de récipient.




CVE-2019-5736 Détails techniques

La faille de sécurité affecte potentiellement plusieurs systèmes de gestion des conteneurs open source. Peu dit, la faille permet aux pirates d'obtenir non autorisés, accès à la racine du système d'exploitation hôte, échappant ainsi conteneur Linux.

En termes plus techniques, la vulnérabilité:

permet aux pirates d'écraser le binaire Runc hôte (et par conséquent obtenir un accès root hôte) en tirant parti de la capacité d'exécuter une commande en tant que racine à l'intérieur de l'un de ces types de conteneurs: (1) un nouveau conteneur avec une image contrôlée par l'attaquant, ou (2) un conteneur existant, à laquelle l'attaquant avait déjà accès en écriture, qui peut être attaché avec docker exec. Cela se produit en raison d'une mauvaise manipulation de fichiers descripteur, en rapport avec / proc / self / exe, comme expliqué dans le consultatif officiel.

La vulnérabilité CVE-2019-5736 a été mis au jour par des chercheurs de sécurité open source Adam Iwaniuk et Borys Poplawski. Cependant, il a été publiquement divulguée par Aleksa Sarai, un ingénieur logiciel senior et responsable Runc à SUSE Linux GmbH lundi.

« Je suis l'un des mainteneurs de Runc (le moteur d'exécution de récipient sous-jacent au-dessous Docker, cru, containerd, Kubernetes, etc). Nous avons récemment rapporté la vulnérabilité que nous avons vérifié et ont une
patch pour,« Vous a écrit.

Le chercheur a également dit qu'un utilisateur malveillant serait en mesure d'exécuter une commande (il n'a pas d'importance si la commande n'est pas contrôlé par l'attaquant) en tant que root dans un conteneur dans l'un de ces contextes:

– Création d'un nouveau conteneur à l'aide d'une image contrôlé par l'attaquant.
– fixation (docker exec) dans un conteneur existant que l'attaquant avait accès en écriture avant.

Il convient également de noter que la référence CVE-2019-5736 est pas bloqué par la stratégie par défaut AppArmor, ni
par la politique SELinux par défaut sur Fedora[++], en raison du fait que les processus de conteneurs semblent être en cours d'exécution comme container_runtime_t.

Cependant, la faille est bloquée par l'utilisation correcte de l'utilisateur namespaces où la racine hôte n'est pas mis en correspondance dans l'espace de noms d'utilisateur du conteneur.

en relation: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-14634-linux-mutagen-astronomy-vulnerability-affects-rhel-cent-os-distros/”]CVE-2018-14634: Linux Mutagène Astronomie vulnérabilité affecte RHEL et Cent OS Distros

CVE-2019-5736 Patch et atténuation

Red Hat dit que la faille peut être atténué lorsque SELinux est activé en mode application ciblée, une condition qui est par défaut sur RedHat Enterprise Linux, CentOS, et Fedora.

Il y a aussi un patch publié par les mainteneurs de Runc disponibles sur GitHub. S'il vous plaît noter que tous les projets qui sont basés sur Runc devraient appliquer les correctifs eux-mêmes.

Qui est touché?

Debian et Ubuntu sont vulnérables à la vulnérabilité, ainsi que des systèmes de conteneurs en cours d'exécution LXC, un outil de conteneurisation Linux avant Docker. code de conteneur Apache Mesos est également affecté.

Des sociétés telles que Google, Amazone, Docker, et Kubernetes sont ont également publié des correctifs pour la faille.

Milena Dimitrova

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum depuis le début. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...