مشكلة عدم الحصانة RunC التي تؤثر على Kubernetes و Docker و containerd

مجتمع Linux يعمل الآن على حل مشكلة عدم الحصانة التي تم اكتشافها مؤخرًا فيما يتعلق بقاذفة حاوية runC المستخدمة من قبل Docker و CRI-O و containerd و Kubernetes.


تسمح الثغرة الأمنية التي حصلت على رقم التعريف CVE-2019-5736 للحاوية المصابة بالكتابة فوق runC القابل للتنفيذ على المضيف والوصول إلى الجذر منه. يسمح هذا الحاوية بالتحكم في المضيف ويمنح المهاجم القدرة على تنفيذ أي أوامر.

نشر Alexa Sarai ، وهو مهندس دعم تشغيل في شركة SUSE ، منشورًا على Openwall يفيد أن مشكلة عدم الحصانة هذه تؤثر على معظم أدوات التعامل مع الحاويات. بالإضافة إلى ذلك ، يلاحظ أنه يمكن حظر مشكلة عدم الحصانة بسبب التنفيذ الصحيح لمساحات أسماء المستخدمين ، حيث لا يتم إجراء تعيين المستخدم الجذر للمضيف إلى مساحة اسم المستخدم للحاوية.

وجدت بعض الشركات أن مشكلة عدم الحصانة هذه مهمة ، حيث تم تحديد تصنيف مناسب لها. تقول ساراي ، وفقًا لمواصفات CVSSv3 ، إنها حصلت على تصنيف 7.2 من أصل 10.

لقد تم تطوير تصحيح بالفعل لإصلاح مشكلة عدم الحصانة هذه ، والتي يمكن الوصول إليها لكل من يستخدم runC. اتخذ العديد من مطوري البرامج وموفري الخدمات السحابية خطوات لتثبيت هذا التصحيح.

تجدر الإشارة إلى أن أداة runC جاءت من خلال جهود Docker. إنها واجهة سطر أوامر متوافقة مع OCI لإطلاق الحاويات.

حول البرامج والأجهزة الحديثة الضعف

على الرغم من أن الضعف المذكور لا ينطبق حصريًا على نظام Kubernetes البيئي ، إلا أنه يمكن القول إنه يواصل تقليد نقاط الضعف الحرجة التي اكتشفت في وقت سابق من هذا العام في هذا النظام الأساسي لتنسيق الحاويات. أثرت هذه الثغرة الأمنية على جميع الأنظمة التي تستخدم Kubernetes ؛ فهي تمنح المهاجمين امتيازات إدارية كاملة على أي عقدة حسابية تعمل في كتلة Kubernetes.

تم تطوير تصحيح سريعًا لإصلاح هذه الثغرة الأمنية ، ولكن لاحظ معظم المتخصصين أنهم يتوقعون اكتشاف ثغرات Kubernetes الأخرى.

يقول راني أوسنات ، نائب رئيس التسويق في شركة أكوا سيكيوريتي ، إن الثغرات الأمنية في البرامج ستظل موجودة دائماً. حقيقة أنه تم اكتشاف ثغرة أمنية معينة أمر متوقع تمامًا. إنه يعتقد أنه سيتم العثور على ثغرات أمنية أخرى ، لأنها ما يمكن أن تتوقعه من أي برنامج.

قامت شركة Lacework ، وهي شركة أمنية سحابية ، باكتشاف أكثر من 21000 نظام لتنسيق الحاويات المفتوحة وواجهات برمجة التطبيقات على الإنترنت العام الماضي والتي يمكن أن يستهدفها مجرمو الإنترنت. وكان من بين هذه الأنظمة مجموعات Kubernetes و Docker Swarm و Mesos Marathon و Red Hat OpenShift وغيرها.

بالإضافة إلى ذلك ، لا يشعر مطورو نواة Linux بالملل من الثغرات الأمنية في الأجهزة مثل Spectrum و Meltdown و Foreshadow. وقال عضو مؤسسة Linux Greg Croa-Hartman ، الذي تحدث العام الماضي في Open Source Summit في فانكوفر ، إنه ستكون هناك نقاط ضعف أخرى مماثلة في المستقبل.

أعزائي القراء! هل سبق وأن قمت بحماية أنظمتك من الضعف في التشغيل؟