Novo bug impacta Kubernetes, Docker, ContainerD e CRI-O



A comunidade Linux está lidando com outra falha de segurança, o bug mais recente impacta o runtime do contêiner runC presente no Docker, cri-o, containerd e o Kubernetes. 

O bug CVE-2019-5736, permite que um contêiner infectado sobrescreva o binário do host runC e ganhe acesso ao código em nível de root no host. 
Isso basicamente permite que o contêiner infectado consiga o controle do host do contêiner e permite que um invasor execue qualquer comando. 
"É bastante provável que a maioria dos runtimes de contêineres sejam vulneráveis a essa falha, a menos que tenham sofrido mitigações muito estranhas", explicou Aleksa Sarai, engenheiro de software sênior da SUSE e mantenedor da runC, em um e-mail publicado na Openwall. 

Sarai acrescentou que a falha é bloqueada pela implementação adequada dos namespaces de usuário "onde a raiz do host não é mapeada no namespace do usuário do contêiner"

Um patch para a falha foi desenvolvido e está sendo enviado para a comunidade runC. 
Vários fornecedores e provedores de nuvem já tomaram medidas para implementar o patch.


https://www.sdxcentral.com/articles/news/kubernetes-docker-containerd-impacted-by-runc-container-runtime-bug/2019/02/

Comentários