Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Useita kriittisiä haavoittuvuuksia konttiteknologioiden runc ja Moby BuildKit -työkaluissa

runc ja Moby BuildKit ovat konttiteknologian alustaratkaisuissa käytettäviä työkaluja, joihin yläkerrosten sovellukset, kuten Docker ja Kubernetes nojaavat. Työkaluissa on havaittu kriittisiä haavoittuvuuksia, joiden avulla hyökkääjä voi saada pääsyn järjestelmään ja sen arkaluonteisiin tietoihin. Haavoittuvuudet mahdollistavat myös jatkohyökkäyksien tekemisen.

runc 1.1.11:ssä ja sitä aikaisemmissa versioissa haavoittuvuus (CVE-2024-21626) mahdollistaa kontista pakenemisen kontteja rakennettaessa tai ajettaessa. Haavoittuvuus hyväksikäyttää heikkoutta WORKDIR-komennon yhteydessä tehtyjen operaatioiden järjestyksessä. Haavoittuvuuden hyödyntäminen voi johtaa siihen, että kontissa käynnistettävä koodi ajetaankin isäntäjärjestelmässä. Tämä hyökkäyksen hyödyntäminen vaatii paikalliset oikeudet järjestelmään.

Moby BuildKit-haavoittuvuuksia on kolme, CVE-2024-23651 (CVSS:8.7) , CVE-2024-23652 (CVSS:10) ja CVE-2024-23653 (CVSS:9.8). Hyökkääjä voi näitä haavoittuvuuksia hyödyntäen poistaa tiedostoja isäntäjärjestelmästä ja korottaa käyttöoikeuksiaan sekä suorittaa koodia isäntäjärjestelmässä. Näitä haavoituvuuksia voidaan hyväksikäyttää etänä.

Haavoittuvat versiot:

  • runc: versiot 1.1.11 asti
  • BuildKit: versio 0.12.4 asti
  • Moby (Docker Engine): versiot v25.0.1:een ja v24.0.8:aan asti
  • Docker Desktop: versiot 4.27.0:aan asti

Haavoituvuuksien korjaavat päivitykset on saatavilla.
Suosittelemme päivittämään sovelluksen tuoreempaan versioon mahdollisimman pian, jos näin ei ole jo toimittu.

Haavoittuvuus koskee organisaatioita, jotka käyttävät kyseistä tuotetta.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Paikallisesti
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

  • runc: versiot 1.1.11 asti
  • BuildKit: versiot 0.12.4 asti
  • Moby (Docker Engine): versiot v25.0.1 ja v24.0.8
  • Docker Desktop: versiot 4.27.0 asti

Ratkaisu- ja rajoitusmahdollisuudet

  • runc: versio 1.1.12 tai uudempi
  • BuildKit: versio 0.12.5 tai uudempi
  • Moby (Docker Engine): versio 25.0.2 tai uudempi ja versio 24.0.9 tai uudempi
  • Docker Desktop: versio 4.27.1 tai uudempi

Lisätietoja