Die Linux-Community ist
derzeit dabei , eine kürzlich entdeckte Sicherheitsanfälligkeit in Bezug auf den von Docker, CRI-O, Containerd und Kubernetes verwendeten
RunC- Container-
Launcher zu beheben .
Die Sicherheitsanfälligkeit, die die Identifikationsnummer
CVE-2019-5736 erhalten hat, ermöglicht es einem infizierten Container, die ausführbare Datei runC auf dem Host zu überschreiben und Root-Zugriff darauf zu erhalten. Dies ermöglicht einem solchen Container, die Kontrolle über den Host zu erlangen, und gibt dem Angreifer die Möglichkeit, beliebige Befehle auszuführen.
Alexa Sarai, eine runC-Supportingenieurin bei SUSE, hat auf Openwall eine
Nachricht veröffentlicht, dass diese Sicherheitsanfälligkeit sehr wahrscheinlich die meisten Tools für die Containerhandhabung betrifft. Darüber hinaus stellt er fest, dass die Sicherheitsanfälligkeit aufgrund der korrekten Implementierung von Benutzernamensräumen blockiert werden kann, bei denen die Zuordnung des Stammbenutzers des Hosts zum Benutzernamensraum des Containers nicht durchgeführt wird.
Einige Unternehmen fanden diese Sicherheitsanfälligkeit wichtig und wiesen ihr eine angemessene
Bewertung zu . Sarai sagt, dass sie gemäß der CVSSv3-Spezifikation eine Bewertung von 7,2 von 10 erhalten hat.
Es wurde bereits ein Patch entwickelt, um diese Sicherheitsanfälligkeit zu beheben, auf die jeder zugreifen kann, der runC verwendet. Viele Softwareentwickler und Cloud-Dienstleister haben Schritte unternommen, um diesen Patch zu installieren.
Es sollte beachtet werden, dass das runC-Tool durch die Bemühungen von Docker entstanden ist. Es ist eine OCI-kompatible Befehlszeilenschnittstelle zum Starten von Containern.
Über moderne Software- und Hardware-Schwachstellen
Obwohl die fragliche Sicherheitsanfälligkeit nicht ausschließlich für das Kubernetes-Ökosystem gilt, kann gesagt werden, dass sie die Tradition der
kritischen Sicherheitsanfälligkeit fortsetzt, die Anfang dieses Jahres auf dieser Plattform für die Container-Orchestrierung entdeckt wurde. Diese Sicherheitsanfälligkeit betraf alle Systeme, die Kubernetes verwenden, und gewährt Angreifern die vollständigen Administratorrechte für alle in einem Kubernetes-Cluster ausgeführten Computerknoten.
Es wurde schnell ein Patch entwickelt, um diese Sicherheitsanfälligkeit zu beheben. Die meisten Spezialisten stellten jedoch fest, dass sie erwarten, dass andere Sicherheitsanfälligkeiten von Kubernetes entdeckt werden.
Laut Rani Osnat, Vice President Marketing bei Aqua Security, werden Software-Schwachstellen immer bestehen. Die Tatsache, dass eine bestimmte Sicherheitsanfälligkeit entdeckt wurde, wird durchaus erwartet. Er glaubt, dass andere Schwachstellen gefunden werden, da sie das sind, was Sie von jeder Software erwarten können.
Lacework, ein Cloud-Sicherheitsunternehmen, hat im vergangenen Jahr über 21.000 Open-Container-Orchestrierungssysteme und APIs im Internet
entdeckt, auf die Cyberkriminelle abzielen könnten. Unter diesen Systemen befanden sich Cluster wie Kubernetes, Docker Swarm, Mesos Marathon, Red Hat OpenShift und andere.
Darüber hinaus langweilen sich Linux-Kernel-Entwickler nicht mit
Hardware-Schwachstellen wie Spectrum, Meltdown und Foreshadow. Greg Croa-Hartman, Mitglied der Linux Foundation, sagte letztes Jahr auf dem
Open Source Summit in Vancouver, dass es in Zukunft weitere ähnliche Sicherheitslücken geben werde.
Liebe Leser! Haben Sie Ihre Systeme bereits vor RunC-Schwachstellen geschützt?