Descripción:

runC es una herramienta liviana de línea de comando de bajo nivel que permite generar y ejecutar contenedores y permite la virtualización a nivel de sistema operativo para ejecutar múltiples sistemas aislados en un host utilizando un solo núcleo.

Se ha descubierto una vulnerabilidad de seguridad en el código del contenedor de runC 1.0-rc6 que afecta a varios sistemas de administración de contenedores de código abierto permitiendo a un adversario escapar del contenedor de Linux y obtener acceso no autorizado, con privilegios de administrador, al sistema operativo host. La explotación se lleva a cabo con la modificación de los binarios del equipo anfitrión al aprovechar la habilidad de ejecutar un comando como root dentro de uno de estos tipos de contenedores:

un contenedor nuevo utilizando una imagen controlada por un atacante o al adjuntar (docker exec) a un contenedor existente al cual el atacante tenía acceso de escritura.
Esto ocurre debido al mal manejo del descriptor de archivos, relacionado con /proc/self/exe.

CVE: CVE-2019-5736
Factor de Riesgo: Alto
Valor CVSS Base: 7.2

Recomendaciones:

  • Garantizar que el contenedor se este ejecutando como usuarios que no sean 0. Esto se puede establecer dentro de la imagen del contenedor, o a través de la especificación de su pod:

Esto también se puede aplicar globalmente mediante un PodSecurityPolicy:

  • Asegurar que todas las imágenes de tus contenedores sean examinadas y confiables.
  • Actualizar el paquete runC para la distribución especifica o actualizando la imagen de su sistema operativo.

https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b

  • Actualizar Docker a la versión 18.09.2. Si no puede actualizar Docker, se ha proporcionado backports para las versiones anteriores de la solución

github.com/rancher/runc-cve

Versiones seguras conocidas para varias distribuciones y plataformas:

Ubuntu – runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1
Debian – runc 0.1.1+dfsg1-2
RedHat Enterprise Linux – docker 1.13.1-91.git07f3374.el7 (if SELinux is disabled)
Amazon Linux – docker 18.06.1ce-7.25.amzn1.x86_64
CoreOS – 2051.0.0
Kops Debian – in progress
Docker – 18.09.2

Referencia:

https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/
https://nvd.nist.gov/vuln/detail/CVE-2019-5736
https://aws.amazon.com/security/security-bulletins/AWS-2019-002/
https://www.openwall.com/lists/oss-security/2019/02/11/2

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like