Kritische Lücke in Docker und Kubernetes erlaubt Codeausführung auf Host-Systemen

Der Fehler steckt in der Container-Runtime RunC. Ein schädlicher Container kann die Binärdatei von RunC überschreiben und so Schadcode auf einem Host-System ausführen, und zwar mit Root-Rechten.

Die Sicherheitsforscher Adam Iwaniuk und Borys Poplawski haben eine kritische Anfälligkeit in der Container-Runtime RunC entdeckt, die unter anderem für die Ausführung von Docker- und Kubernetes Containern verwendet wird. Sie erlaubt es, Container mit einer Schadsoftware zu infizieren und anschließend den Container zu verlassen, um das Host-System anzugreifen.

(Bild: Docker)Laut Aleksa Sarai, Senior Software Engineer bei Suse und RunC-Entwickler, kann ein schädlicher Container die Schwachstelle mit minimaler Interaktion mit einem Nutzer ausnutzen, um die RunC-Binärdatei des Hosts zu überschreiben. Das wiederum erlaubt es dem Angreifer, beliebige Befehle auf dem Host mit Rootrechten auszuführen. Allerdings muss der Angreifer zuerst einen Container in das anzugreifende System einschleusen.

Trotzdem warnt Scott McCarty, technischer Produktmanager für Container bei Red Hat, vor der Anfälligkeit. „Die Offenlegung eines Sicherheitsproblems (CVE-2019-5736) in RunC und Docker veranschaulicht ein gefährliches Szenario für viele IT-Administratoren, Manager und CxOs. Container stellen einen Rückschritt in Richtung gemeinsamer Systeme dar, in denen Anwendungen von vielen verschiedenen Benutzern auf demselben Linux-Host ausgeführt werden. Die Ausnutzung dieser Schwachstelle bedeutet, dass bösartiger Code möglicherweise die Eindämmung brechen könnte, was sich nicht nur auf einen einzelnen Container, sondern auf den gesamten Container-Host auswirkt und letztendlich die hundert bis tausend anderen Container, die auf ihm laufen, gefährdet.“

McCarty befürchtet, dass der Bug geeignet ist, eine „Reihe von kaskadierenden Angriffen“ auszuführen, die „eine Vielzahl von miteinander verbundenen Produktionssystemen betreffen“. Damit qualifiziere sich die Schwachstelle als „Weltuntergangsszenario“.

Inzwischen stehen die ersten Patches zur Verfügung. Sie sind auch für Systeme erhältlich, die LXC und Apache Modes als Container-Code einsetzen. Laut Amazon Web Services ist auch ein Update für Amazon Linux verfügbar, das allerdings noch für Amazon Elastic Container Service, Amazon Elastic Container Service for Kubernetes und AWS Fargate ausgerollt werden muss.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Themenseiten: Container, Docker, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Kritische Lücke in Docker und Kubernetes erlaubt Codeausführung auf Host-Systemen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *