Brother
Professional
- Messages
- 2,590
- Reaction score
- 533
- Points
- 113
В инструменте командной строки runC были обнаружены многочисленные уязвимости в системе безопасности, которые могут быть использованы субъектами угроз для выхода за пределы контейнера и проведения последующих атак.
Уязвимости, отслеживается как CVE-2024-21626, уязвимость CVE-2024-23651, уязвимость CVE-2024-23652, и CVE-2024-23653, были коллективно окрестили дырявые сосуды по кибербезопасности поставщика Snyk.
"Эти экранирования контейнера могут позволить злоумышленнику получить несанкционированный доступ к базовой операционной системе хоста изнутри контейнера и потенциально разрешить доступ к конфиденциальным данным (учетные данные, информация о клиенте и т.д.) И запускать дальнейшие атаки, особенно когда полученный доступ включает права суперпользователя", - говорится в отчете компании, опубликованном в Hacker News.
runC - это инструмент для создания и запуска контейнеров в Linux. Первоначально он был разработан как часть Docker, а позже выделен в отдельную библиотеку с открытым исходным кодом в 2015 году.
Краткое описание каждого из недостатков приведено ниже -
"Это может произойти при запуске вредоносного образа или при создании образа контейнера с использованием вредоносного файла Dockerfile или восходящего образа (т. е. При использовании "FROM`)", - сказал Сник.
На сегодняшний день нет доказательств того, что какие-либо из недавно обнаруженных недостатков использовались в реальном времени. Тем не менее, проблемы были устранены в выпущенной сегодня версии runC 1.1.12.
"Поскольку эти уязвимости затрагивают широко используемые низкоуровневые компоненты контейнерного движка и инструменты сборки контейнеров, Snyk настоятельно рекомендует пользователям проверять наличие обновлений у любых поставщиков, предоставляющих среды выполнения контейнеров, включая Docker, поставщиков Kubernetes, облачные контейнерные сервисы и сообщества с открытым исходным кодом", - говорится в сообщении компании.
В феврале 2019 года разработчики runC устранили еще одну серьезную ошибку (CVE-2019-5736, оценка CVSS: 8,6), которой злоумышленник мог воспользоваться для взлома контейнера и получения root-доступа к хосту.
Уязвимости, отслеживается как CVE-2024-21626, уязвимость CVE-2024-23651, уязвимость CVE-2024-23652, и CVE-2024-23653, были коллективно окрестили дырявые сосуды по кибербезопасности поставщика Snyk.
"Эти экранирования контейнера могут позволить злоумышленнику получить несанкционированный доступ к базовой операционной системе хоста изнутри контейнера и потенциально разрешить доступ к конфиденциальным данным (учетные данные, информация о клиенте и т.д.) И запускать дальнейшие атаки, особенно когда полученный доступ включает права суперпользователя", - говорится в отчете компании, опубликованном в Hacker News.
runC - это инструмент для создания и запуска контейнеров в Linux. Первоначально он был разработан как часть Docker, а позже выделен в отдельную библиотеку с открытым исходным кодом в 2015 году.
Краткое описание каждого из недостатков приведено ниже -
- CVE-2024-21626 - WORKDIR: порядок операций по удалению контейнера
- CVE-2024-23651 - Гонка монтирования кэша
- CVE-2024-23652 - Buildkit Разборка контейнера во время сборки, произвольное удаление
- CVE-2024-23653 - Проверка привилегий Buildkit GRPC SecurityMode
"Это может произойти при запуске вредоносного образа или при создании образа контейнера с использованием вредоносного файла Dockerfile или восходящего образа (т. е. При использовании "FROM`)", - сказал Сник.
На сегодняшний день нет доказательств того, что какие-либо из недавно обнаруженных недостатков использовались в реальном времени. Тем не менее, проблемы были устранены в выпущенной сегодня версии runC 1.1.12.
"Поскольку эти уязвимости затрагивают широко используемые низкоуровневые компоненты контейнерного движка и инструменты сборки контейнеров, Snyk настоятельно рекомендует пользователям проверять наличие обновлений у любых поставщиков, предоставляющих среды выполнения контейнеров, включая Docker, поставщиков Kubernetes, облачные контейнерные сервисы и сообщества с открытым исходным кодом", - говорится в сообщении компании.
В феврале 2019 года разработчики runC устранили еще одну серьезную ошибку (CVE-2019-5736, оценка CVSS: 8,6), которой злоумышленник мог воспользоваться для взлома контейнера и получения root-доступа к хосту.
