FERRAMENTAS LINUX: Atualização de segurança do ArchLinux para corrigir o escalonamento de privilégios no containerd aviso ArchLinux: 202012-8

quarta-feira, 9 de dezembro de 2020

Atualização de segurança do ArchLinux para corrigir o escalonamento de privilégios no containerd aviso ArchLinux: 202012-8

 





Confira !!

O pacote containerd antes da versão 1.4.3-1 é vulnerável ao aumento de privilégios.

Aviso de segurança do Arch Linux ASA-202012-8

=================================================


Gravidade: alta

Data: 05-12-2020

CVE-ID: CVE-2020-15257

Pacote: containerd

Tipo: escalonamento de privilégio

Remoto: Não

Link: https://security.archlinux.org/AVG-1309


Resumo

=======


O pacote containerd antes da versão 1.4.3-1 é vulnerável a

escalonamento de privilégios.


Resolução

==========


Atualize para 1.4.3-1.


# pacman -Syu "containerd> = 1.4.3-1"


O problema foi corrigido na versão 1.4.3.


Gambiarra

==========


Se você não estiver fornecendo a capacidade de usuários não confiáveis ​​iniciarem

contêineres no mesmo namespace de rede que o shim (normalmente o

namespace de rede "host", por exemplo com docker run --net = host ou

hostNetwork: true em um pod Kubernetes) e executado com um UID efetivo de

0, você não é vulnerável a esse problema.


Se você estiver executando contêineres com uma configuração vulnerável, você pode

nega o acesso a todos os sockets abstratos com AppArmor adicionando uma linha

semelhante a deny unix addr = @ **, à sua política.


É uma prática recomendada executar contêineres com um conjunto reduzido de privilégios,

com um UID diferente de zero e com namespaces isolados. O contêiner

os mantenedores desaconselham o compartilhamento de namespaces com o host.

Reduzindo o conjunto de mecanismos de isolamento usados ​​para um contêiner

necessariamente aumenta o privilégio desse contêiner, independentemente do que

o tempo de execução do contêiner é usado para executar esse contêiner.


Descrição

===========


No containerd antes das versões 1.3.9 e 1.4.3, a API containerd-shim

é exposto indevidamente aos contêineres de rede do host Controles de acesso para

o soquete da API do shim verificou que o processo de conexão tinha um

UID efetivo de 0, mas não restringiu o acesso ao

soquete de domínio Unix abstrato. Isso permitiria contêineres maliciosos

rodando no mesmo namespace de rede que o shim, com um eficaz

UID de 0, mas privilégios reduzidos de outra forma, para fazer com que novos processos sejam

executado com privilégios elevados.


Deve-se observar que os contêineres começaram com uma versão antiga do

containerd-shim deve ser interrompido e reiniciado, como contêineres em execução

continuará vulnerável mesmo após uma atualização.


Impacto

======


Um invasor local pode ser capaz de escalar privilégios por meio de um

contêiner em execução no mesmo namespace de rede que o shim.


Referências

==========


https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4

https://github.com/containerd/containerd/commit/428f10fd27eb1f9bd0b9aaa33a6579416c3a8b12

https://github.com/containerd/containerd/commit/ae3a64aa10d6d9b1567adce057778800c9cc45ed

https://security.archlinux.org/CVE-2020-15257


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário