보안 연구원 Yuval 교수 Avrahami 컨테이너 환경에서 RKT 취약점 발견 (컨테이너 런타임) 즉, 호스트에서 루트 권한을 컨테이너를 무시하고 얻을 그를 허용.
티그는 문제는 식별자를 할당 CVE-2019-10144, CVE-2019-10145 과 CVE-2019-10147.사용자가 들어갈 때 공격자는 호스트를 손상하기 위해 취약점을 악용 할 수 있습니다 ‘도구 대륙'명령 (동등한 '고정 표시기 간부'명령) 그 제어 하에서 모듈을 통해.
"나는 아직도 생산 RKT 실행할 얼마나 많은 사용자가 모르는, 하지만 당신이 할 경우, (가) 'RKT 입력'사용하지 않는 명령, 여기에 포함으로 여러 패치되지 않은 취약점 ", - 추천 Yuval 교수 Avrahami.
'도구 대륙'명령은 실행중인 컨테이너에 바이너리 코드를 실행할 수 있습니다. 바이너리 코드는 수퍼 유저 권한으로 실행, 하지만 기는 seccomp 과 cgroup에 보안 메커니즘이 적용되지 않습니다, 이는 공격자에게 용기를 우회 할 수있는 기회를 제공.
취약점을 악용하려면, 공격자는 수퍼 유저 권한이있는 용기에 액세스 할 수 있어야합니다. 따라서, 사용자가 실행될 때 '도구 대륙'명령, 공격자는 이진 코드 및 라이브러리를 다시 작성할 수 있습니다 (/빈 / bash는 ? libc.so.6으로) 악성 코드를 실행하기 위해 컨테이너 내부.
연구원은 개인적 문제에 대해 제조업체에 통보. 하나, 그는 취약점을 해결하기위한 시간 제한이 고정되지 않았 음을 들었다.
"나는 더 꾸준히 유지되는 다른 컨테이너 런타임을 고려하는 것이 좋습니다, 같은 부두 노동자로, podman 또는 LXD ", - Yuval 교수 Avrahami은 adviced.
분명히 연구원은에 대한 최종 판결을한다 도구 환경.
도구 오픈 소스 용기 런타임이며 CNCF 만든 배양 프로젝트 CoreOS. 그것은 널리 사랑 프로젝트, 대부분은 몇 가지 가능한 오픈 소스 대안 중 하나이기 때문에 부두 노동자다시 초기 컨테이너 일. RKT의 실행의 기본 단위 인 포드, 이는 공유 컨텍스트에서 실행 여러 컨테이너를 포함.