Categories: CloudVirtualisierung

Kritische Lücke in Docker und Kubernetes erlaubt Codeausführung auf Host-Systemen

Die Sicherheitsforscher Adam Iwaniuk und Borys Poplawski haben eine kritische Anfälligkeit in der Container-Runtime RunC entdeckt, die unter anderem für die Ausführung von Docker- und Kubernetes Containern verwendet wird. Sie erlaubt es, Container mit einer Schadsoftware zu infizieren und anschließend den Container zu verlassen, um das Host-System anzugreifen.

Laut Aleksa Sarai, Senior Software Engineer bei Suse und RunC-Entwickler, kann ein schädlicher Container die Schwachstelle mit minimaler Interaktion mit einem Nutzer ausnutzen, um die RunC-Binärdatei des Hosts zu überschreiben. Das wiederum erlaubt es dem Angreifer, beliebige Befehle auf dem Host mit Rootrechten auszuführen. Allerdings muss der Angreifer zuerst einen Container in das anzugreifende System einschleusen.

Trotzdem warnt Scott McCarty, technischer Produktmanager für Container bei Red Hat, vor der Anfälligkeit. „Die Offenlegung eines Sicherheitsproblems (CVE-2019-5736) in RunC und Docker veranschaulicht ein gefährliches Szenario für viele IT-Administratoren, Manager und CxOs. Container stellen einen Rückschritt in Richtung gemeinsamer Systeme dar, in denen Anwendungen von vielen verschiedenen Benutzern auf demselben Linux-Host ausgeführt werden. Die Ausnutzung dieser Schwachstelle bedeutet, dass bösartiger Code möglicherweise die Eindämmung brechen könnte, was sich nicht nur auf einen einzelnen Container, sondern auf den gesamten Container-Host auswirkt und letztendlich die hundert bis tausend anderen Container, die auf ihm laufen, gefährdet.“

McCarty befürchtet, dass der Bug geeignet ist, eine „Reihe von kaskadierenden Angriffen“ auszuführen, die „eine Vielzahl von miteinander verbundenen Produktionssystemen betreffen“. Damit qualifiziere sich die Schwachstelle als „Weltuntergangsszenario“.

Inzwischen stehen die ersten Patches zur Verfügung. Sie sind auch für Systeme erhältlich, die LXC und Apache Modes als Container-Code einsetzen. Laut Amazon Web Services ist auch ein Update für Amazon Linux verfügbar, das allerdings noch für Amazon Elastic Container Service, Amazon Elastic Container Service for Kubernetes und AWS Fargate ausgerollt werden muss.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Avantree Aria Me: Bluetooth-Kopfhörer mit individueller Klanganpassung und Mikrofon

Das Highlight des Over-Ear-Kopfhörers Aria Me von Avantree ist die Möglichkeit zur indivduellen Klanganpassung. Das…

13 Stunden ago

Chrome erlaubt das Ausführen von Befehlen über die die Adressleiste

Die Chrome Actions ersetzen das Aufrufen bestimmter Befehle über das Menü. Per Eingabe in die…

13 Stunden ago

Bericht: Microsoft bringt Android-Apps auf Windows-Desktops

Sie halten angeblich Einzug in den Microsoft Store. Die neue Funktion soll im Lauf des…

15 Stunden ago

AWS-Störung betrifft Tausende Online-Dienste

Ursache ist ein Fehler im AWS-Datendienst Kinesis. Er wirkt sich auch auf interne Systeme von…

17 Stunden ago

Forscher entdeckt zufällig Zero-Day-Lücke in Windows 7 und Server 2008

Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Neuere Windows-Versionen sind nicht betroffen. Der Forscher…

19 Stunden ago

Bericht: Frankreich verschickt Bescheide für Digitalsteuer an Amazon und Facebook

Die Briefe gehen offenbar auch an Google, Apple und andere Unternehmen. Frankreich reagiert damit auf…

21 Stunden ago