CVE-2019-5736 is nog een andere Linux kwetsbaarheid in de kern Runc container code ontdekt. De Runc gereedschap wordt beschreven als een lichtgewicht, draagbare uitvoering van de Open Container Format (OCF) dat voorziet container runtime.
CVE-2019-5736 Technische Details
Het lek heeft potentieel effect op verschillende open-source container management systemen. Kort gezegd, de fout aanvallers de mogelijkheid om ongeoorloofde krijgen, Root toegang tot het hostbesturingssysteem, aldus Linux container ontsnapt.
In meer technische termen, de kwetsbaarheid:
aanvallers de mogelijkheid om de gastheer Runc binaire overschrijven (en daardoor verkrijgen gastheer worteltoegang) door gebruik te maken van de mogelijkheid om een commando als root uitvoeren binnen één van deze typen houders: (1) een nieuwe container met een beeld-aanvaller gecontroleerde, of (2) een bestaande container, waartoe de aanvaller eerder schrijftoegang, die kan worden bevestigd met havenarbeider exec. Dit gebeurt als gevolg van file-descriptor mishandelen, verwant aan / proc / self / exe, zoals in de officieel adviesorgaan.
De CVE-2019-5736 kwetsbaarheid werd opgegraven door open source security onderzoekers Adam Iwaniuk en Borys Popławski. Echter, het werd openbaar gemaakt door Aleksa Sarai, een senior software engineer en Runc onderhouder op SUSE Linux GmbH op maandag.
“Ik ben een van de beheerders van Runc (de onderliggende container runtime daaronder Docker, geloofde het, containerd, Kubernetes, enzovoort). Wij hadden onlangs een kwetsbaarheid gemeld die wij hebben gecontroleerd en hebben een
patch,"U zult schreef.
De onderzoeker zei ook dat een kwaadwillende gebruiker in staat om een opdracht uit te voeren zou zijn (het maakt niet uit of de opdracht is niet-aanvaller gecontroleerde) als root in een houder in een van deze contexten:
– Het creëren van een nieuwe container met behulp van een afbeelding-aanvaller gecontroleerde.
– Vastmaken (havenarbeider exec) in een bestaande houder, die de aanvaller had vorige schrijftoegang tot.
Ook moet worden opgemerkt dat CVE-2019-5736 niet wordt geblokkeerd door de standaard AppArmor beleid, noch
door de standaard SELinux beleid op Fedora[++], omdat die container processen lijken te draaien als container_runtime_t.
Niettemin, de fout wordt geblokkeerd door een goed gebruik van de gebruiker naamruimten de ontvangende wortel niet wordt toegewezen aan de houder van de gebruiker naamruimte.
CVE-2019-5736 Patch and Mitigation
Red Hat zegt dat de fout kan worden beperkt als SELinux is ingeschakeld in gerichte afdwingende mode, een aandoening die wordt dan ook standaard op RedHat Enterprise Linux, CentOS, en Fedora.
Er is ook een patch vrijgegeven door de beheerders van Runc beschikbaar op GitHub. Houd er rekening mee dat alle projecten die gebaseerd zijn op Runc de patches zelf moeten gelden.
Wie Getroffen?
Debian en Ubuntu zijn kwetsbaar voor de kwetsbaarheid, alsmede container systemen met LXC, een Linux containerization instrument voorafgaand aan Docker. Apache Mesos container code wordt ook beïnvloed.
Bedrijven zoals Google, Amazone, havenarbeider, en Kubernetes zijn ook beschikbaar gestelde oplossingen voor de fout.