Sicherheitslücken in rkt ermöglichen, den Behälter unter Umgehung und Root-Rechte auf dem Host erhalten

Der Sicherheitsforscher Yuval Avrahami entdeckt rkt Schwachstellen in der Behälterumgebung (Behälter Laufzeit) dass ihm erlaubt, den Behälter zu umgehen und Root-Rechte auf dem Host erhalten.

Ter Probleme sind die Kennungen zugewiesen CVE-2019-10144, CVE-2019-10145 und CVE-2019-10147.

Ein Angreifer kann Sicherheitslücken ausnutzen, um einen Host zu beeinträchtigen, wenn ein Nutzer die ‘Werkzeuge Kontinente' Befehl (äquivalent zu dem ‚docker exec' Befehl) über ein Modul unter seiner Kontrolle.

„Ich weiß nicht, wie viele Benutzer noch in der Produktion rkt läuft, aber wenn Sie das tun, vermeiden Sie die ‚Eingabe rkt‘ Befehl, da es mehrere ungepatchte Schwachstellen enthält“, - empfohlen Yuval Avrahami.

Das 'Werkzeuge Kontinente‘Befehl können Sie Binär-Code in einem laufenden Container auszuführen. Der binäre Code mit Root-Rechten laufen, aber die Seccomp und cgroup Sicherheitsmechanismen gelten nicht, das gibt dem Angreifer die Möglichkeit, den Behälter zu umgehen.

Um nutzen Schwachstellen, muss ein Angreifer Zugriff auf Container mit Superuser-Privilegien. Deshalb, wenn ein Benutzer die ‚Werkzeuge Kontinente' Befehl, kann ein Angreifer den binären Code und Bibliotheken umschreiben (/bin / bash ? libc.so.6) im Inneren des Behälters, um den schädlichen Code zu starten.

Der Forscher informiert privat mit dem Hersteller über die Probleme,. jedoch, er wurde gesagt, dass keine Frist für die Festsetzung der Verwundbarkeit wurde behoben.

„Ich schlage vor, unter Berücksichtigung alternativer Behälter Runtimes, die mehr stetig gehalten werden, wie Docker, Podman oder LXD“, - adviced Yuval Avrahami.

Offenbar macht den Forscher das endgültige Urteil über die Werkzeuge Umgebung.

Werkzeuge ist ein Open-Source-Laufzeit und ein Behälter CNCF Inkubation Projekt erstellt von CoreOS. Es ist ein weit geliebt Projekt, vor allem, weil es war eines der wenigen lebensfähigen Open-Source-Alternativen zu Dockerin den frühen Tagen Container. RKT des Grundeinheit der Ausführung ist eine Schote, Welche enthält mehrere Behälter in einem gemeinsamen Rahmen ausgeführt wird.

Quelle: https://www.twistlock.com

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort