Red Hat ostrzega przed podatnością wykrytą w kontenerze Docker

Red Hat ujawnił wczoraj, że w jednym z jego flagowych rozwiązań istnieje luka w zabezpieczeniach, która może zostać wykorzystana przez hakera, jeśli użytkownik i nie korzysta z systemu SeLinux i uruchomi na komputerze dziurawy kontener.

Luka jest groźna, nadano jej bowiem status „Important” (Poważna). Nosi nazwę CVE-2019-5736 i znajduje się w dwóch miejscach. W oprogramowaniu runC (lekkie, przenośne środowisko wykonawcze kontenera) i w samym kontenerze Docker. Pozwala ona hakerowi wyjść z kontenera i następnie uzyskać dostęp do systemu plików.

Mamy i dobrą wiadomość. Luka nie jest niebezpieczna jeśli użytkownik korzysta z oprogramowania SELinux (zestaw modyfikacji Linuksa zmieniający zasady przypisywania zasobów poszczególnym aplikacjom), które zostało na systemie Red Hat aktywowane domyślnie.

Zobacz również:

Aby sprawdzić, czy konkretny system Red Hat wymusił stosowanie SELinux, należy użyć jednego z zaprezentowanych poniżej poleceń:

/usr/sbin/getenforce

Enforcing <==

lub

sestatus

SELinux status: enabled <==

SELinuxfs mount: /sys/fs/selinux

SELinux root directory: /etc/selinux

Loaded policy name: targeted

Current mode: enforcing

Mode from config file: enforcing

Policy MLS status: enabled

Policy deny_unknown status: allowed

Memory protection checking: actual (secure)

Max kernel policy version: 31

Podatność znajduje się w następujących systemach Red Hat: Red Hat OpenShift Container Platform 3.x; Red Hat OpenShift Online; Red Hat OpenShift Dedicated i Red Hat Enterprise Linux 7.

Dokładny opis podatności i oraz porada, jak zabezpieczyć swój system, znajduje się tutaj.


TOP 200