Red Hat ostrzega przed podatnością wykrytą w kontenerze Docker
- Janusz Chustecki,
- 13.02.2019, godz. 09:24
Red Hat ujawnił wczoraj, że w jednym z jego flagowych rozwiązań istnieje luka w zabezpieczeniach, która może zostać wykorzystana przez hakera, jeśli użytkownik i nie korzysta z systemu SeLinux i uruchomi na komputerze dziurawy kontener.
Luka jest groźna, nadano jej bowiem status „Important” (Poważna). Nosi nazwę CVE-2019-5736 i znajduje się w dwóch miejscach. W oprogramowaniu runC (lekkie, przenośne środowisko wykonawcze kontenera) i w samym kontenerze Docker. Pozwala ona hakerowi wyjść z kontenera i następnie uzyskać dostęp do systemu plików.
Mamy i dobrą wiadomość. Luka nie jest niebezpieczna jeśli użytkownik korzysta z oprogramowania SELinux (zestaw modyfikacji Linuksa zmieniający zasady przypisywania zasobów poszczególnym aplikacjom), które zostało na systemie Red Hat aktywowane domyślnie.
Zobacz również:
- Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
- Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
- Red Hat uruchomił portal ułatwiający projektowanie aplikacji
Aby sprawdzić, czy konkretny system Red Hat wymusił stosowanie SELinux, należy użyć jednego z zaprezentowanych poniżej poleceń:
/usr/sbin/getenforce
Enforcing <==
lub
sestatus
SELinux status: enabled <==
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 31
Podatność znajduje się w następujących systemach Red Hat: Red Hat OpenShift Container Platform 3.x; Red Hat OpenShift Online; Red Hat OpenShift Dedicated i Red Hat Enterprise Linux 7.
Dokładny opis podatności i oraz porada, jak zabezpieczyć swój system, znajduje się tutaj.