Kritische Lücke in Docker und Kubernetes erlaubt Codeausführung auf Host-Systemen

Die Sicherheitsforscher Adam Iwaniuk und Borys Poplawski haben eine kritische Anfälligkeit in der Container-Runtime RunC entdeckt, die unter anderem für die Ausführung von Docker- und Kubernetes Containern verwendet wird. Sie erlaubt es, Container mit einer Schadsoftware zu infizieren und anschließend den Container zu verlassen, um das Host-System anzugreifen.

Laut Aleksa Sarai, Senior Software Engineer bei Suse und RunC-Entwickler, kann ein schädlicher Container die Schwachstelle mit minimaler Interaktion mit einem Nutzer ausnutzen, um die RunC-Binärdatei des Hosts zu überschreiben. Das wiederum erlaubt es dem Angreifer, beliebige Befehle auf dem Host mit Rootrechten auszuführen. Allerdings muss der Angreifer zuerst einen Container in das anzugreifende System einschleusen.

Trotzdem warnt Scott McCarty, technischer Produktmanager für Container bei Red Hat, vor der Anfälligkeit. „Die Offenlegung eines Sicherheitsproblems (CVE-2019-5736) in RunC und Docker veranschaulicht ein gefährliches Szenario für viele IT-Administratoren, Manager und CxOs. Container stellen einen Rückschritt in Richtung gemeinsamer Systeme dar, in denen Anwendungen von vielen verschiedenen Benutzern auf demselben Linux-Host ausgeführt werden. Die Ausnutzung dieser Schwachstelle bedeutet, dass bösartiger Code möglicherweise die Eindämmung brechen könnte, was sich nicht nur auf einen einzelnen Container, sondern auf den gesamten Container-Host auswirkt und letztendlich die hundert bis tausend anderen Container, die auf ihm laufen, gefährdet.“

McCarty befürchtet, dass der Bug geeignet ist, eine „Reihe von kaskadierenden Angriffen“ auszuführen, die „eine Vielzahl von miteinander verbundenen Produktionssystemen betreffen“. Damit qualifiziere sich die Schwachstelle als „Weltuntergangsszenario“.

Inzwischen stehen die ersten Patches zur Verfügung. Sie sind auch für Systeme erhältlich, die LXC und Apache Modes als Container-Code einsetzen. Laut Amazon Web Services ist auch ein Update für Amazon Linux verfügbar, das allerdings noch für Amazon Elastic Container Service, Amazon Elastic Container Service for Kubernetes und AWS Fargate ausgerollt werden muss.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Windows 10 19H2 erlaubt Nutzung von Alexa & Co. im Sperrbildschirm

Eine Aktivierung von Alexa & Co., also einem Digitalassistenten eines Drittanbieters, ist per Sprachaktivierung vom Sperrbildschirm aus möglich. Das Build…

2 Stunden ago

PC-Markt: Windows 10 sorgt für Wachstum

Laut Gartner hat die Auslieferung von PCs in den letzten drei Monaten im Vergleich zum Vorjahreszeitraum um 1,5 Prozent zugelegt.…

5 Stunden ago

Galaxy S8 und Galaxy S8+: Update bringt Android-Sicherheitspatch Juli

Das Juli-Sicherheitsupdate schließt mehrere kritische Sicherheitslücken und verbessert die Stabilität der Kamera.

7 Stunden ago

200 Euro sparen: OnePlus 7 mit 256 GByte Speicher für knapp 409 Euro

Das Spitzenmodell OnePlus 7 Pro in der Ausführung mit 256 GByte Speicher und 8 GByte RAM in den Farben Grau…

9 Stunden ago

Datacore bringt umfassendes Storagekonzept und eine HCI-Appliance

Mit einer eigenen HCI-Lösung will Datacore die Grenzen zwischen konventioneller und hyperkonvergenter Infrastruktur sprengen. Eingebunden ist sie in das Konzept…

10 Stunden ago

Oberverwaltungsgericht erklärt StreamOn der Telekom für rechtswidrig

Durch die Ausgestaltung des Streamingdienstes sieht es Netzneutralität und europäische Roaming-Regelungen verletzt. Damit wird ein früheres Urteil bestätigt. Der Beschluss…

24 Stunden ago