Komunitas Linux sekarang dalam
proses menyelesaikan kerentanan yang baru ditemukan terkait
peluncur kontainer
runC yang digunakan oleh Docker, CRI-O, containerd, dan Kubernetes.
Kerentanan yang menerima nomor identifikasi
CVE-2019-5736 memungkinkan wadah yang terinfeksi untuk menimpa runC yang dapat dieksekusi pada host dan mendapatkan akses root ke sana. Ini memungkinkan suatu wadah untuk mendapatkan kendali atas tuan rumah dan memberi penyerang kemampuan untuk menjalankan perintah apa pun.
Alexa Sarai, seorang insinyur dukungan runC di SUSE, memposting sebuah
posting di Openwall yang menyatakan bahwa kerentanan ini sangat mungkin mempengaruhi sebagian besar alat penanganan kontainer. Selain itu, ia mencatat bahwa kerentanan dapat diblokir karena implementasi yang benar dari ruang nama pengguna, di mana pemetaan pengguna root host ke ruang nama pengguna wadah tidak dilakukan.
Beberapa perusahaan menemukan kerentanan ini penting, memberikannya peringkat yang sesuai. Sarai mengatakan bahwa, sesuai dengan spesifikasi CVSSv3, dia diberikan peringkat 7.2 dari 10.
Patch telah dikembangkan untuk memperbaiki kerentanan ini, yang dapat diakses oleh semua orang yang menggunakan runC. Banyak pengembang perangkat lunak dan penyedia layanan cloud telah mengambil langkah-langkah untuk menginstal tambalan ini.
Perlu dicatat bahwa alat runC muncul melalui upaya Docker. Ini adalah antarmuka baris perintah yang kompatibel dengan OCI untuk meluncurkan kontainer.
Tentang kerentanan perangkat lunak dan perangkat keras modern
Meskipun kerentanan yang dimaksud tidak berlaku secara eksklusif untuk ekosistem Kubernetes, dapat dikatakan melanjutkan tradisi kerentanan
kritis yang ditemukan awal tahun ini di platform ini untuk orkestrasi wadah. Kerentanan itu memengaruhi semua sistem menggunakan Kubernetes, ia memberikan penyerang hak administratif penuh pada setiap node komputasi yang berjalan di cluster Kubernetes.
Sebuah tambalan cepat dikembangkan untuk memperbaiki kerentanan itu, tetapi sebagian besar spesialis kemudian mencatat bahwa mereka mengharapkan kerentanan Kubernetes lainnya ditemukan.
Rani Osnat, wakil presiden pemasaran di Aqua Security, mengatakan kerentanan perangkat lunak akan selalu ada. Fakta bahwa kerentanan tertentu ditemukan cukup diharapkan. Ia percaya bahwa kerentanan lain akan ditemukan, karena itulah yang dapat Anda harapkan dari perangkat lunak apa pun.
Lacework, sebuah perusahaan keamanan cloud,
menemukan lebih dari 21.000 sistem orkestrasi kontainer terbuka dan API di Internet tahun lalu yang dapat ditargetkan oleh penjahat cyber. Di antara sistem ini adalah cluster Kubernetes, Docker Swarm, Mesos Marathon, Red Hat OpenShift dan lainnya.
Selain itu, pengembang kernel Linux tidak bosan dengan
kerentanan perangkat keras seperti Spectrum, Meltdown dan Foreshadow. Anggota Linux Foundation Greg Croa-Hartman, yang berbicara tahun lalu di
Open Source Summit di Vancouver, mengatakan akan ada kerentanan serupa lainnya di masa depan.
Pembaca yang budiman! Sudahkah Anda melindungi sistem Anda dari kerentanan runC?