Der Sicherheitsforscher Yuval Avrahami entdeckt rkt Schwachstellen in der Behälterumgebung (Behälter Laufzeit) dass ihm erlaubt, den Behälter zu umgehen und Root-Rechte auf dem Host erhalten.
Ter Probleme sind die Kennungen zugewiesen CVE-2019-10144, CVE-2019-10145 und CVE-2019-10147.Ein Angreifer kann Sicherheitslücken ausnutzen, um einen Host zu beeinträchtigen, wenn ein Nutzer die ‘Werkzeuge Kontinente' Befehl (äquivalent zu dem ‚docker exec' Befehl) über ein Modul unter seiner Kontrolle.
„Ich weiß nicht, wie viele Benutzer noch in der Produktion rkt läuft, aber wenn Sie das tun, vermeiden Sie die ‚Eingabe rkt‘ Befehl, da es mehrere ungepatchte Schwachstellen enthält“, - empfohlen Yuval Avrahami.
Das 'Werkzeuge Kontinente‘Befehl können Sie Binär-Code in einem laufenden Container auszuführen. Der binäre Code mit Root-Rechten laufen, aber die Seccomp und cgroup Sicherheitsmechanismen gelten nicht, das gibt dem Angreifer die Möglichkeit, den Behälter zu umgehen.
Um nutzen Schwachstellen, muss ein Angreifer Zugriff auf Container mit Superuser-Privilegien. Deshalb, wenn ein Benutzer die ‚Werkzeuge Kontinente' Befehl, kann ein Angreifer den binären Code und Bibliotheken umschreiben (/bin / bash ? libc.so.6) im Inneren des Behälters, um den schädlichen Code zu starten.
Der Forscher informiert privat mit dem Hersteller über die Probleme,. jedoch, er wurde gesagt, dass keine Frist für die Festsetzung der Verwundbarkeit wurde behoben.
„Ich schlage vor, unter Berücksichtigung alternativer Behälter Runtimes, die mehr stetig gehalten werden, wie Docker, Podman oder LXD“, - adviced Yuval Avrahami.
Offenbar macht den Forscher das endgültige Urteil über die Werkzeuge Umgebung.
Quelle: https://www.twistlock.com
