Acoplable ha parcheado una vulnerabilidad de elevación de privilegios (CVE-2016-9962), que podría dar lugar a fugas de contenedores, lo que permite que un hacker pueda afectar a las operaciones de un host desde el interior de un contenedor.
La vulnerabilidad tiene una clasificación de severidad alta por algunas distribuciones de Linux como Arch Linux, que traza el problema a un error encontrado en el código "Runc opencontainers '", utilizado por varios motores de contenedores.
De acuerdo con la aguamarina de seguridad, la vulnerabilidad se explota cuando se ejecuta un comando exec dentro de un contenedor ya se está ejecutando. Exec es un comando de Unix, donde un comando exec reemplaza el proceso de shell actual sin crear un nuevo proceso.
"Cuando eso sucede, un proceso malicioso en el interior del recipiente puede tener acceso a un descriptor de archivo 'olvidado' de un directorio que reside en el host. Esto a su vez puede ser utilizado para realizar recorrido de directorio de sistema de archivos del huésped, facilitando así un escape desagradable y fácil ", escribió Sagie Dulce, investigador senior en el Aqua de Seguridad.
Acoplable lanzó una actualización, 1.12.6 motor acoplable, la semana pasada que los parches de la falla. Se califica la vulnerabilidad como menor y lo describe como una "apertura insegura de archivo descriptor", que permite la elevación de privilegios.
Red Hat clasificación de la vulnerabilidad como medio después de describir en primer lugar el problema en un post titulado "acoplable 0-día se detuvo en seco por SELinux", que más tarde fue cambiado a "SELinux mitiga la vulnerabilidad de contenedores." Red Hat ha argumentado que SELinux habría mejor protegidos contra CVE-2016-9962. Red Hat también alertó a sus usuarios para parchear la vulnerabilidad y dijo que ejecuta SELinux no protegen totalmente contra la vulnerabilidad.
"SELinux es el único que protege el sistema de ficheros de servidor de ataques desde el interior del recipiente. Si los procesos en el interior del contenedor obtener acceso a un archivo de host y tratar de leer y escribir el contenido, SELinux se compruebe el acceso ", escribió Dan Walsh, ingeniero consultor de Red Hat.
Dulce de Aqua Seguridad cree que el asunto descriptor de fichero abierto es parte de un problema mayor atada a exec comandos se ejecuta dentro de un contenedor. En el caso de CVE-2016-9962, hay una pequeña ventana de oportunidad "antes del proceso de Runc init ejecuta el comando del interior del contenedor, donde el recipiente tiene acceso al proceso init Runc en el host."
El calendario del proceso permite que el proceso init Runc para entrar en el espacio de nombres del contenedor antes de que ejecuta el comando del final, dijo Dulce. "Esta ventana podría permitir a un contenedor, por ejemplo, a la lista de descriptores de archivo en el proceso de host, lo que puede conducir a sistema de archivos del host."
Aleksa Sarai con SUSE y Tõnis Tiigi con acoplable se acreditan por revelar la vulnerabilidad el 2 de enero.
Fuente: https: //threatpost.com
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario