Useita kriittisiä haavoittuvuuksia konttiteknologioiden runc ja Moby BuildKit -työkaluissa
Haavoittuvuus6/2024CVE-2024-21626 (Ulkoinen linkki)
runc ja Moby BuildKit ovat konttiteknologian alustaratkaisuissa käytettäviä työkaluja, joihin yläkerrosten sovellukset, kuten Docker ja Kubernetes nojaavat. Työkaluissa on havaittu kriittisiä haavoittuvuuksia, joiden avulla hyökkääjä voi saada pääsyn järjestelmään ja sen arkaluonteisiin tietoihin. Haavoittuvuudet mahdollistavat myös jatkohyökkäyksien tekemisen.
runc 1.1.11:ssä ja sitä aikaisemmissa versioissa haavoittuvuus (CVE-2024-21626) mahdollistaa kontista pakenemisen kontteja rakennettaessa tai ajettaessa. Haavoittuvuus hyväksikäyttää heikkoutta WORKDIR-komennon yhteydessä tehtyjen operaatioiden järjestyksessä. Haavoittuvuuden hyödyntäminen voi johtaa siihen, että kontissa käynnistettävä koodi ajetaankin isäntäjärjestelmässä. Tämä hyökkäyksen hyödyntäminen vaatii paikalliset oikeudet järjestelmään.
Moby BuildKit-haavoittuvuuksia on kolme, CVE-2024-23651 (CVSS:8.7) , CVE-2024-23652 (CVSS:10) ja CVE-2024-23653 (CVSS:9.8). Hyökkääjä voi näitä haavoittuvuuksia hyödyntäen poistaa tiedostoja isäntäjärjestelmästä ja korottaa käyttöoikeuksiaan sekä suorittaa koodia isäntäjärjestelmässä. Näitä haavoituvuuksia voidaan hyväksikäyttää etänä.
Haavoittuvat versiot:
- runc: versiot 1.1.11 asti
- BuildKit: versio 0.12.4 asti
- Moby (Docker Engine): versiot v25.0.1:een ja v24.0.8:aan asti
- Docker Desktop: versiot 4.27.0:aan asti
Haavoituvuuksien korjaavat päivitykset on saatavilla.
Suosittelemme päivittämään sovelluksen tuoreempaan versioon mahdollisimman pian, jos näin ei ole jo toimittu.
Haavoittuvuus koskee organisaatioita, jotka käyttävät kyseistä tuotetta.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Paikallisesti
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
- runc: versiot 1.1.11 asti
- BuildKit: versiot 0.12.4 asti
- Moby (Docker Engine): versiot v25.0.1 ja v24.0.8
- Docker Desktop: versiot 4.27.0 asti
Mistä on kysymys?
- runc: versio 1.1.12 tai uudempi
- BuildKit: versio 0.12.5 tai uudempi
- Moby (Docker Engine): versio 25.0.2 tai uudempi ja versio 24.0.9 tai uudempi
- Docker Desktop: versio 4.27.1 tai uudempi
Mitä voin tehdä?
Leaky Vessels: Docker and runc container breakout vulnerabilities (January 2024) (Ulkoinen linkki)
Runc process.cwd and leaked fds container breakout (Ulkoinen linkki)
Mody Buildkit Build-time Container Teardown Arbitrary Delete (Ulkoinen linkki)
Mody BuildKit - GRPC SecurityMode privilege check: Build-time container breakout (Ulkoinen linkki)
Mody BuidKit - Build-time race condition container breakout (Ulkoinen linkki)