O pacote containerd antes da versão 1.4.3-1 é vulnerável ao aumento de privilégios.
Aviso de segurança do Arch Linux ASA-202012-8
=================================================
Gravidade: alta
Data: 05-12-2020
CVE-ID: CVE-2020-15257
Pacote: containerd
Tipo: escalonamento de privilégio
Remoto: Não
Link: https://security.archlinux.org/AVG-1309
Resumo
=======
O pacote containerd antes da versão 1.4.3-1 é vulnerável a
escalonamento de privilégios.
Resolução
==========
Atualize para 1.4.3-1.
# pacman -Syu "containerd> = 1.4.3-1"
O problema foi corrigido na versão 1.4.3.
Gambiarra
==========
Se você não estiver fornecendo a capacidade de usuários não confiáveis iniciarem
contêineres no mesmo namespace de rede que o shim (normalmente o
namespace de rede "host", por exemplo com docker run --net = host ou
hostNetwork: true em um pod Kubernetes) e executado com um UID efetivo de
0, você não é vulnerável a esse problema.
Se você estiver executando contêineres com uma configuração vulnerável, você pode
nega o acesso a todos os sockets abstratos com AppArmor adicionando uma linha
semelhante a deny unix addr = @ **, à sua política.
É uma prática recomendada executar contêineres com um conjunto reduzido de privilégios,
com um UID diferente de zero e com namespaces isolados. O contêiner
os mantenedores desaconselham o compartilhamento de namespaces com o host.
Reduzindo o conjunto de mecanismos de isolamento usados para um contêiner
necessariamente aumenta o privilégio desse contêiner, independentemente do que
o tempo de execução do contêiner é usado para executar esse contêiner.
Descrição
===========
No containerd antes das versões 1.3.9 e 1.4.3, a API containerd-shim
é exposto indevidamente aos contêineres de rede do host Controles de acesso para
o soquete da API do shim verificou que o processo de conexão tinha um
UID efetivo de 0, mas não restringiu o acesso ao
soquete de domínio Unix abstrato. Isso permitiria contêineres maliciosos
rodando no mesmo namespace de rede que o shim, com um eficaz
UID de 0, mas privilégios reduzidos de outra forma, para fazer com que novos processos sejam
executado com privilégios elevados.
Deve-se observar que os contêineres começaram com uma versão antiga do
containerd-shim deve ser interrompido e reiniciado, como contêineres em execução
continuará vulnerável mesmo após uma atualização.
Impacto
======
Um invasor local pode ser capaz de escalar privilégios por meio de um
contêiner em execução no mesmo namespace de rede que o shim.
Referências
==========
https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4
https://github.com/containerd/containerd/commit/428f10fd27eb1f9bd0b9aaa33a6579416c3a8b12
https://github.com/containerd/containerd/commit/ae3a64aa10d6d9b1567adce057778800c9cc45ed
https://security.archlinux.org/CVE-2020-15257
Até a próxima !!
Nenhum comentário:
Postar um comentário