Categories: CloudVirtualisierung

Kritische Lücke in Docker und Kubernetes erlaubt Codeausführung auf Host-Systemen

Die Sicherheitsforscher Adam Iwaniuk und Borys Poplawski haben eine kritische Anfälligkeit in der Container-Runtime RunC entdeckt, die unter anderem für die Ausführung von Docker- und Kubernetes Containern verwendet wird. Sie erlaubt es, Container mit einer Schadsoftware zu infizieren und anschließend den Container zu verlassen, um das Host-System anzugreifen.

Laut Aleksa Sarai, Senior Software Engineer bei Suse und RunC-Entwickler, kann ein schädlicher Container die Schwachstelle mit minimaler Interaktion mit einem Nutzer ausnutzen, um die RunC-Binärdatei des Hosts zu überschreiben. Das wiederum erlaubt es dem Angreifer, beliebige Befehle auf dem Host mit Rootrechten auszuführen. Allerdings muss der Angreifer zuerst einen Container in das anzugreifende System einschleusen.

Trotzdem warnt Scott McCarty, technischer Produktmanager für Container bei Red Hat, vor der Anfälligkeit. „Die Offenlegung eines Sicherheitsproblems (CVE-2019-5736) in RunC und Docker veranschaulicht ein gefährliches Szenario für viele IT-Administratoren, Manager und CxOs. Container stellen einen Rückschritt in Richtung gemeinsamer Systeme dar, in denen Anwendungen von vielen verschiedenen Benutzern auf demselben Linux-Host ausgeführt werden. Die Ausnutzung dieser Schwachstelle bedeutet, dass bösartiger Code möglicherweise die Eindämmung brechen könnte, was sich nicht nur auf einen einzelnen Container, sondern auf den gesamten Container-Host auswirkt und letztendlich die hundert bis tausend anderen Container, die auf ihm laufen, gefährdet.“

McCarty befürchtet, dass der Bug geeignet ist, eine „Reihe von kaskadierenden Angriffen“ auszuführen, die „eine Vielzahl von miteinander verbundenen Produktionssystemen betreffen“. Damit qualifiziere sich die Schwachstelle als „Weltuntergangsszenario“.

Inzwischen stehen die ersten Patches zur Verfügung. Sie sind auch für Systeme erhältlich, die LXC und Apache Modes als Container-Code einsetzen. Laut Amazon Web Services ist auch ein Update für Amazon Linux verfügbar, das allerdings noch für Amazon Elastic Container Service, Amazon Elastic Container Service for Kubernetes und AWS Fargate ausgerollt werden muss.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Roborock mit erfolgreichem Börsengang

Die Aktien des Saugroboterherstellers steigen um 84,5 Prozent auf 500,1 Yuan. Damit erzielt das Unternehmen einen Erlös von knapp 591…

1 Stunde ago

Google warnt vor Microsoft-Browser Edge

Die Warnung wird beim Besuch des Chrome Web Stores eingeblendet und empfielt den Nutzern die Installation von Chrome. Allerdings wird…

4 Stunden ago

Supercomputer Hawk mit 11.260 AMD-Prozessoren geht in Betrieb

Das Höchstleistungsrechenzentrum in Stuttgart (HLRS) hat heute offiziell den Supercomputer Hawk in Betrieb genommen. Der Großrechner stammt von Hewlett Packard…

5 Tagen ago

BlackBerry: Automobilindustrie und Einzelhandel sollten sich auf mehr Bedrohungen einstellen

Der Anstieg von Angriffen in der Automobilindustrie werde durch die fortschreitende Vernetzung der PKWs begünstigt. Das ist das Ergebnis des…

5 Tagen ago

Telekom blickt auf ein Rekordjahr zurück

Der Konzern erzielt 2019 einen Umsatz von 80,5 Milliarden Euro, was einem Anstieg gegenüber dem Vorjahr um 6.4 Prozent entspricht.…

5 Tagen ago

Dell will RSA Security an Symphony Technology Group verkaufen

Dieser Schritt soll das Portfolio von Dell vereinfachen und der RSA ermöglichen, sich auf ihre Kernaufgabe im Bereich Sicherheit zu…

5 Tagen ago