Kwetsbaarheden in RKT mogelijk omzeilen van de container en krijg rootpermissies op de host

Security-onderzoeker Yuval Avrahami ontdekt RKT kwetsbaarheden in de container milieu (container runtime) die hem toegestaan ​​om de container te omzeilen en krijg rootpermissies op de host.

Thij problemen worden de identificaties die zijn toegewezen CVE-2019-10.144, CVE-2019-10.145 En CVE-2019-10.147.

Een aanvaller kan kwetsbaarheden om een ​​gastheer compromissen als een gebruiker de ‘Gereedschap continenten’command (gelijk aan de ‘havenarbeider exec’command) via een module onder zijn controle.

“Ik weet niet hoeveel gebruikers lopen nog steeds RKT in productie, maar als je dat doet, Vermijd het gebruik van de ‘RKT enter’ command, want het bevat een aantal ongepatchte kwetsbaarheden”, - aanbevolen Yuval Avrahami.

De 'Gereedschap continenten’Opdracht kunt u binaire code uit te voeren in een lopende container. De binaire code wordt uitgevoerd met privileges, maar de seccomp En CGroup beveiligingsmechanismen niet van toepassing, die de mogelijkheid om de container te omzeilen geeft de aanvaller.

Om kwetsbaarheden, moet een aanvaller toegang tot de containers met privileges hebben. daarom, wanneer een gebruiker werkt met de ‘Gereedschap continenten’command, kan een aanvaller de binaire code en bibliotheken herschrijven (/bin / bash ? libc.so.6) in de container om de kwaadaardige code te lanceren.

De onderzoeker particulier de fabrikant op de hoogte over de problemen. Echter, Hij kreeg te horen dat er geen tijdslimiet is vastgesteld voor de vaststelling van de kwetsbaarheid.

“Ik stel overweegt alternatieve container runtimes die regelmatiger worden onderhouden, zoals Docker, podman of LXD”, - reisgegevens door Yuval Avrahami.

Blijkbaar is de onderzoeker maakt de definitieve uitspraak over de gereedschap milieu.

gereedschap is een open source container runtime en CNCF incubatie project aangemaakt door CoreOS. Het is een alom geliefde project, vooral omdat het een van de weinige levensvatbare open source alternatieven voor havenarbeiderterug in de vroege container dagen. rkt’s basiseenheid uitvoering is een peul, waarbij meerdere containers die in een gemeenschappelijk kader bevat.

Bron: https://www.twistlock.com

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

MageCart op de Heroku Cloud Platform

Onderzoekers vonden verschillende MageCart Web Skimmers Op Heroku Cloud Platform

Onderzoekers van Malwarebytes rapporteerde over het vinden van een aantal MageCart web skimmers op de Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware maskers als een Android-chat-applicatie

Trend Micro deskundigen ontdekte de malware CallerSpy, waarachter een Android chat-toepassing en, …

Laat een antwoord achter