Categories: CloudVirtualisierung

Kritische Lücke in Docker und Kubernetes erlaubt Codeausführung auf Host-Systemen

Die Sicherheitsforscher Adam Iwaniuk und Borys Poplawski haben eine kritische Anfälligkeit in der Container-Runtime RunC entdeckt, die unter anderem für die Ausführung von Docker- und Kubernetes Containern verwendet wird. Sie erlaubt es, Container mit einer Schadsoftware zu infizieren und anschließend den Container zu verlassen, um das Host-System anzugreifen.

Laut Aleksa Sarai, Senior Software Engineer bei Suse und RunC-Entwickler, kann ein schädlicher Container die Schwachstelle mit minimaler Interaktion mit einem Nutzer ausnutzen, um die RunC-Binärdatei des Hosts zu überschreiben. Das wiederum erlaubt es dem Angreifer, beliebige Befehle auf dem Host mit Rootrechten auszuführen. Allerdings muss der Angreifer zuerst einen Container in das anzugreifende System einschleusen.

Trotzdem warnt Scott McCarty, technischer Produktmanager für Container bei Red Hat, vor der Anfälligkeit. „Die Offenlegung eines Sicherheitsproblems (CVE-2019-5736) in RunC und Docker veranschaulicht ein gefährliches Szenario für viele IT-Administratoren, Manager und CxOs. Container stellen einen Rückschritt in Richtung gemeinsamer Systeme dar, in denen Anwendungen von vielen verschiedenen Benutzern auf demselben Linux-Host ausgeführt werden. Die Ausnutzung dieser Schwachstelle bedeutet, dass bösartiger Code möglicherweise die Eindämmung brechen könnte, was sich nicht nur auf einen einzelnen Container, sondern auf den gesamten Container-Host auswirkt und letztendlich die hundert bis tausend anderen Container, die auf ihm laufen, gefährdet.“

McCarty befürchtet, dass der Bug geeignet ist, eine „Reihe von kaskadierenden Angriffen“ auszuführen, die „eine Vielzahl von miteinander verbundenen Produktionssystemen betreffen“. Damit qualifiziere sich die Schwachstelle als „Weltuntergangsszenario“.

Inzwischen stehen die ersten Patches zur Verfügung. Sie sind auch für Systeme erhältlich, die LXC und Apache Modes als Container-Code einsetzen. Laut Amazon Web Services ist auch ein Update für Amazon Linux verfügbar, das allerdings noch für Amazon Elastic Container Service, Amazon Elastic Container Service for Kubernetes und AWS Fargate ausgerollt werden muss.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Steganografie: Cyberkriminelle verstecken Schadcode in WAV-Dateien

Bisher ist ausschließlich Malware bekannt, die Bilder für Steganografie einsetzt. Nun setzt unter anderem Crypto-Miner auf diese Technik und nutzt…

8 Stunden ago

US-Ermittler zerschlagen Kinderpornografie-Ring im Darknet

Der Marktplatz Welcome To Video bietet mehr als 250.000 Videos zum Kauf an, die Kindesmissbrauch zeigen. Die Zahlungen per Bitcoin…

10 Stunden ago

Qu1ckR00t: Beispielcode für Android-Zero-Day-Lücke veröffentlicht

Ein Sicherheitsforscher entwickelt den Proof-of-Concept für das Pixel 2. Er geht weit über die Funktion des bisher von Google bereitgestellten…

12 Stunden ago

Europäischer Wearables-Markt wächst um 154 Prozent – Apple vor Samsung

Apple punktet dank seiner AirPods und der Apple Watch. Samsung wächst indes mehr als doppelt so schnell wie Apple. 80…

14 Stunden ago

Neue kumulative Updates für Windows 10 – ohne Fix für Startmenü-Bug

Microsoft behebt zwar einen Fehler im Startmenü, der tritt aber nur beim Upgrade auf die Version 1809 auf. Weitere Fixes…

16 Stunden ago

Firefox 70 warnt vor unverschlüsselten HTTP- und FTP-Verbindungen

Verschlüsselte Seiten erhalten nur noch ein graues statt einem grünem Schloss. Dafür hebt Firefox unverschlüsselte Seiten mit einem roten Kreuz…

17 Stunden ago