En af de store sikkerhed frygt beholdere er, at en angriber kunne inficere en beholder med et ondsindet program, som kunne komme ud og angribe host system. Godt, vi nu har et sikkerhedshul, som kan bruges af et sådant angreb: RunC container breakout, CVE-2019-5736.
Desuden: Dette er, hvordan Docker beholdere kan udnyttes
RunC er den underliggende container runtime for Dokker, Kubernetes, og en anden beholder, der er afhængige af programmer. Det er et open source-kommandolinjeværktøj til gydning og kører containere. Docker blev oprindeligt skabt det. I dag, er det en Åben Beholder Initiativ (OCI) specifikation. Det er almindeligt anvendt. Chancen er, hvis du bruger beholdere, du kører dem på runC.
Ifølge Aleksa Saraj, en SUSE container senior software ingeniør og en runC vedligeholder, sikkerhed forskere Adam Iwaniuk og Borys Popławski opdagede en sårbarhed, som gør det muligt for en ondsindet beholderen (med minimal interaktion fra brugeren) overskrive vært runc binære og dermed opnå root-niveau programkode på den vært. Omfanget af brugernes interaktion er at være i stand
at køre en kommando (det gør ikke noget, hvis kommandoen er ikke hacker-styret) som root.”
For at gøre dette, kan en hacker har til at placere en skadelig beholderen, i dit system. Men, dette er ikke så vanskeligt. Dovne systemadministratorer bruger ofte den første container, der kommer til hånd uden kontrol for at se, om den software, inden at beholderen er, hvad det giver sig ud for at være.
Hvor slemt er det? Så slemt, som du kan forestille dig. Scott McCarty, Red Hat teknisk produkt manager for beholdere, advarede:
Offentliggørelse af et sikkerhedshul (CVE-2019-5736) i runc og dokker illustrerer et skidt scenario for mange IT-administratorer, ledere, og CxOs. Containere, er et skridt tilbage mod fælles systemer, hvor ansøgninger fra mange forskellige brugere, der alle køre på den samme Linux-vært. Udnyttelse af denne sårbarhed betyder, at ondsindet kode kan potentielt bryde indeslutning, påvirker ikke bare en enkelt container, men hele containeren vært, i sidste ende gå på kompromis med de hundredvis til tusindvis af andre beholdere, der kører på det. Mens der er meget få hændelser, der kunne kvalificere sig som et dommedags scenario for virksomhedens IT, et overlappende sæt af exploits, der påvirker en bred vifte af indbyrdes forbundne systemer til produktion af kvalificerer sig…og det er præcis, hvad denne sårbarhed udgør.”
Udover runC, Sarai rapporter om, at problemet kan også angribe container systemer, der anvender LXC og Apache Mesos container kode. Så, ja, hvis du kører nogen form for beholdere, du har brug for at lappe ASAP.
De fleste, hvis ikke alle, cloud container systemer er sårbare over for denne potentielle angreb. Amazon Web Services (AWS), for eksempel, at mens der er en programrettelse er tilgængelig for Amazon Linux, patches er stadig ved at blive rullet ud til Amazon Elastic Container Service (Amazon EC ‘ er), Amazon Elastic Container Service for Kubernetes (Amazon EKS), og AWS Fargate.
Skal læse
Top 5 myter om cloud-baseret sikkerhed (TechRepublic)
Hvordan til at stoppe websites fra at bruge din computer til min Bitcoin (CNET)
Red Hat hævder, at hvis du installerer SELinux, denne fejl bør ikke genere dig. Men samtidig skal man køre SELinux, og det er sat på som standard i Red Hat Enterprise Linux (RHEL), mange systemadministratorer ikke køre det, fordi det er vanskeligt at opretholde.
Hertil kommer, Saraj, bemærker, at “Denne sårbarhed er *ikke* blokeret som standard Common politik, heller ikke af den standard SELinux-politik på Fedora (fordi container processer synes at være kører som container_runtime_t). Men det *er* blokeret gennem korrekt brug af navnerum bruger (hvor værten rod er ikke kortlagt i containeren bruger-navnerummet).”
Den hurtige og nemme svar er, at patch runC så hurtigt som muligt.
Godt? Hvad venter du på? Få på det. Dette har potentiale til alvorligt at skade dine systemer.
Relaterede Historier:
Grim sikkerhed fejl fundet og rettet i Linux aptNew Linux Systemd sikkerhedshuller uncoveredNew sikkerhedshul virkninger de fleste Linux-og BSD-distributioner
Relaterede Emner:
Cloud
Sikkerhed-TV
Data Management
CXO
Datacentre