Uno dei grandi timori per la sicurezza, su contenitori è che un utente malintenzionato può infettare un contenitore con un programma dannoso, che riuscì a scappare e a attaccare il sistema host. Bene, ora abbiamo un buco di sicurezza che potrebbe essere utilizzato da un tale attacco: RunC contenitore per sottogruppi di lavoro, CVE-2019-5736.
Inoltre: Questo è come scaricatore di porto, i contenitori possono essere sfruttati
RunC è sottostante contenitore di runtime per il Mobile, Kubernetes, e altri dipende dal contenitore programmi. È un open-source a riga di comando strumento per la riproduzione e per l’esecuzione di contenitori. La finestra mobile è stato creato. Oggi, è un Contenitore Aperto Iniziativa (OCI) specifica. E ‘ ampiamente utilizzato. Probabilità sono, se si sta utilizzando contenitori, si sta eseguendo li runC.
Secondo Aleksa Sarai, SUSE contenitore senior software engineer e un runC manutentore, i ricercatori di sicurezza di Adamo Iwaniuk e Borys Popławski scoperto una vulnerabilità, che “consente a un malintenzionato contenitore (con il minimo di interazione con l’utente) sovrascrivere l’host runc binario e, quindi, di guadagno a livello di radice di codice in esecuzione su un host. Il livello di interazione con l’utente è in grado
per eseguire qualsiasi comando (non importa se il comando non è controllato da un utente malintenzionato) come root.”
Per fare questo, un utente malintenzionato deve posizionare un dannoso contenitore all’interno del vostro sistema. Ma, questo non è difficile. Pigro gli amministratori di sistema utilizzano spesso il primo contenitore che viene a portata di mano senza controllare per vedere se il software all’interno di tale contenitore è quello che pretende di essere.
Quanto male è questo? Così male come si può immaginare. Scott McCarty, Red Hat technical product manager per i contenitori, ha avvertito:
La divulgazione di una falla di sicurezza (CVE-2019-5736) in runc finestra mobile e illustra un brutto scenario per molti amministratori, dirigenti, e CxOs. Contenitori rappresentano un movimento all’indietro verso sistemi condivisi in cui le applicazioni da molti utenti differenti, tutti in esecuzione sullo stesso host Linux. Sfruttando questa vulnerabilità, significa che il codice dannoso potrebbe potenzialmente pausa di contenimento, con un impatto non solo di un unico contenitore, ma l’intero contenitore host, in ultima analisi, compromettere le centinaia di migliaia di altri contenitori in esecuzione su di esso. Mentre ci sono pochi incidenti che potrebbero qualificarsi come uno scenario apocalittico per le imprese, a cascata una serie di exploit che interessano una vasta gamma di reti e sistemi di produzione qualifica…e questo è esattamente ciò che questa vulnerabilità rappresenta.”
Oltre runC, Sarai segnala che il problema può anche attaccare sistemi di contenitori utilizzando LXC e Apache Mesos codice del contenitore. Quindi, sì, se si esegue qualsiasi tipo di contenitori, è necessario patch al più presto.
La maggior parte, se non tutti, cloud contenitore sistemi sono vulnerabili a questo attacco potenziale. Amazon Web Services (AWS), per esempio, afferma che, mentre c’è una patch disponibili per Amazon Linux, le patch sono ancora in fase di implementazione per Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Contenitore di Servizio per Kubernetes (Amazon EKS), e AWS Fargate.
Deve leggere
La top 5 miti di sicurezza cloud-based (TechRepublic)
Come bloccare i siti web che utilizzano il computer di mia Bitcoin (CNET)
Red Hat sostiene che se la distribuzione di SELinux, questo bug non dovrebbe darti fastidio. Tuttavia, mentre si dovrebbe eseguire SELinux, ed è impostato in modo predefinito in Red Hat Enterprise Linux (RHEL), molti amministratori di sistema, non correre, perché è difficile da mantenere.
Inoltre, Sarai note, “Questa vulnerabilità *non* è bloccato di default AppArmor politica, né da quello di default policy di SELinux su Fedora (perché il contenitore di processi sembrano essere in esecuzione come container_runtime_t). Tuttavia, si è bloccato con un corretto utilizzo dei namespace utente (in cui l’ospite principale non è mappata nel contenitore dell’utente spazio dei nomi).”
La risposta semplice e rapida è la patch runC il più presto possibile.
Bene? Che cosa stai aspettando? Ottenere su di esso. Questo ha il potenziale di danneggiare seriamente i vostri sistemi.
Storie Correlate:
Brutto bug di sicurezza individuato e risolto in Linux aptNew Linux Systemd buchi di sicurezza uncoveredNew falla di sicurezza impatti maggior parte delle distribuzioni Linux e BSD
Argomenti Correlati:
Cloud
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati