En av de stora säkerhetshot om behållare är att en angripare skulle kunna infektera en behållare med ett skadligt program, som kunde fly och attackera den mottagande systemet. Tja, vi har nu ett säkerhetshål som kan utnyttjas av en sådan attack: RunC behållare breakout, CVE-2019-5736.
Även Detta är hur Docker behållare kan utnyttjas
RunC är den underliggande behållare runtime för Hamnarbetare, Kubernetes, och andra behållare som är beroende av program. Det är ett open-source-kommandoradsverktyg för lek och kör containrar. Docker det ursprungligen skapades. Idag är det en Öppen Behållare Initiativ (OCI) specifikation. Den används ofta. Chansen finns, om du använder containrar, du kör dem på runC.
Enligt Aleksa Sarai, en SUSE behållare senior software engineer och en runC ansvariga, säkerhet forskare Adam Iwaniuk och Borys Popławski upptäckte en sårbarhet, som “ger en skadlig behållaren (med minimal interaktion med användaren) för att skriva över den värd runc binära och därmed få root-nivå kod på värden. Den nivå av interaktion med användaren är att få vara med
för att köra något kommando (det spelar ingen roll om kommandot inte är angripare-kontrollerad) som root.”
För att göra detta, att en angripare har att placera en skadlig behållare i ditt system. Men, detta är inte så svårt. Lat systemadministratörer använder ofta den första behållaren som kommer till handen utan att kontrollera för att se om programvara inom behållaren är vad det utger sig för att vara.
Hur illa är detta? Så dåligt som du kan tänka dig. Scott McCarty, Red Hat teknisk produktchef för behållare, varnade:
Utlämnande av en säkerhetsbrist (CVE-2019-5736) i runc och docker illustrerar ett dåligt scenario för många IT-administratörer, chefer, och CxOs. Containrar som utgör ett steg tillbaka mot ett gemensamt system där applikationer från många olika användare alla kör på samma Linux värd. För att utnyttja denna sårbarhet innebär att skadlig kod kan eventuellt bryta inneslutning, påverkar inte bara en enda behållare, men hela containern värd i slutändan att kompromissa med de hundratals till tusentals andra behållare som kör på den. Medan det finns väldigt få incidenter som skulle kunna betecknas som ett domedagsscenario för företagets IT, en sammanhängande uppsättning av bedrifter som påverkar ett brett utbud av sammankopplade system för produktion kvalificerar…och det är precis vad denna sårbarhet utgör.”
Förutom runC, Sarai rapporterar att problemet kan också angripa behållare system som använder TELNET och Apache Mesos container code. Så, ja, om du kör någon typ av behållare du behöver för att lappa ASAP.
De flesta, om inte alla, moln behållare system är sårbara för denna potentiella angrepp. Amazon Web Services (AWS), till exempel, menar att även om det finns en patch som finns för Amazon Linux, fläckar fortfarande rullas ut för Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Container Service för Kubernetes (Amazon EKS), och AWS Fargate.
Måste läsa
Topp 5 myter om cloud-baserad säkerhet (TechRepublic)
Hur man hindrar webbplatser från att använda din dator till min Bitcoin (CNET)
Red Hat hävdar att om du installera SELinux, felet ska inte bry dig. Men, samtidigt ska du köra SELinux, och det är inställt på som standard i Red Hat Enterprise Linux (RHEL), många systemadministratörer inte köra det, eftersom det är svårt att upprätthålla.
Dessutom, Sarai anteckningar: “Denna sårbarhet är *inte* blockerad av standard AppArmor politik, och inte heller av den standard SELinux policy på Fedora (eftersom behållaren processer verkar vara igång som container_runtime_t). Men, det *är* blockeras genom korrekt användning av användaren namnrymder (där värden rot är inte kartlagt i container användaren namespace).”
Det snabba och enkla svaret är att lappa runC så snart som möjligt.
Väl? Vad väntar du på? Få på det. Detta har potential att allvarligt skada ditt system.
Relaterade Artiklar:
Otäck säkerhet bugg har hittats och fixats i Linux aptNew Linux Systemd säkerhetshål uncoveredNew säkerhetsbrist påverkan de flesta Linux-och BSD-distributioner
Relaterade Ämnen:
Cloud
Säkerhet-TV
Hantering Av Data
CXO
Datacenter