Casa > cibernético Notícias > CVE-2019-5736 Linux Falha em runC permite acesso root não autorizado
CYBER NEWS

CVE-2019-5736 Linux Falha no Runc permite acesso Root Unauthorized

CVE-2019-5736 é outra vulnerabilidade Linux descoberto no código recipiente Runc núcleo. A ferramenta Runc é descrito como um peso leve, implementação portátil do formato aberto Container (OCF) que proporciona tempo de execução do recipiente.




Detalhes técnicos CVE-2019-5736

A falha de segurança afeta potencialmente vários sistemas de gerenciamento de contêiner de código aberto. disse brevemente, a falha permite que os invasores sejam não autorizados, acesso root ao sistema operacional host, escapando assim do contêiner Linux.

Em termos mais técnicos, a vulnerabilidade:

permite que os invasores sobrescrevam o binário runc do host (e, consequentemente, obter acesso root ao host) aproveitando a capacidade de executar um comando como root em um desses tipos de contêineres: (1) um novo contêiner com uma imagem controlada pelo invasor, ou (2) um contêiner existente, ao qual o invasor tinha acesso de gravação anteriormente, que pode ser anexado com docker exec. Isso ocorre devido ao manuseio incorreto do descritor de arquivo, relacionado a / proc / self / exe, como explicado no consultivo oficial.

A vulnerabilidade CVE-2019-5736 foi descoberta pelos pesquisadores de segurança de código aberto Adam Iwaniuk e Borys Popławski. Contudo, foi divulgado publicamente por Aleksa Sarai, um engenheiro de software sênior e mantenedor runC da SUSE Linux GmbH na segunda-feira.

“Eu sou um dos mantenedores do runc (o tempo de execução do contêiner subjacente no Docker, cri-o, contêiner, Governadores, e assim por diante). Recentemente, relatamos uma vulnerabilidade que verificamos e temos um
patch para," Você será escrevi.

O pesquisador também disse que um usuário malicioso seria capaz de executar qualquer comando (não importa se o comando não é controlado pelo invasor) como root em um contêiner em qualquer um desses contextos:

– Criar um novo contêiner usando uma imagem controlada pelo invasor.
– Anexando (docker exec) em um contêiner existente ao qual o invasor tinha acesso de gravação anterior.

Também deve ser observado que CVE-2019-5736 não é bloqueado pela política AppArmor padrão, nem
pela política padrão do SELinux no Fedora[++], devido ao fato de que os processos de contêiner parecem estar em execução como container_runtime_t.

Não obstante, a falha é bloqueada pelo uso correto de namespaces de usuário, onde a raiz do host não é mapeada para o namespace de usuário do contêiner.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-14634-linux-mutagen-astronomy-vulnerability-affects-rhel-cent-os-distros/”]CVE-2018-14634: Vulnerabilidade Linux Mutagéneo Astronomia afeta RHEL e Cent OS Distros

Patch e mitigação CVE-2019-5736

A Red Hat diz que a falha pode ser mitigada quando o SELinux é habilitado no modo de aplicação direcionado, uma condição que vem por padrão no RedHat Enterprise Linux, CentOS, e Fedora.

Também existe um patch lançado pelos mantenedores do runC disponível no GitHub. Observe que todos os projetos que são baseados em runC devem aplicar os próprios patches.

Quem é afetado?

Debian e Ubuntu são vulneráveis ​​à vulnerabilidade, bem como sistemas de contêiner executando LXC, uma ferramenta de contêiner do Linux antes do Docker. O código do contêiner Apache Mesos também é afetado.

Empresas como o Google, Amazonas, Docker, e o Kubernetes também lançaram correções para a falha.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...