Abo
  • IT-Karriere:

Runc: Sicherheitslücke ermöglicht Übernahme von Container-Host

Eine Sicherheitslücke ermöglicht es, dass Software aus einem Container ausbricht. Die Ausführungsumgebung Runc, mit der Container gestartet werden, kann überschrieben und so der Host übernommen werden. Docker und viele andere Lösungen sind verwundbar.

Artikel veröffentlicht am , Hanno Böck/
Viele gängige Containerlösungen unter Linux sind von einer Sicherheitslücke betroffen, womit das Hostsystem übernommen werden kann.
Viele gängige Containerlösungen unter Linux sind von einer Sicherheitslücke betroffen, womit das Hostsystem übernommen werden kann. (Bild: Roy Luck/Flickr.com/CC-BY 2.0)

Die Entwickler von Runc, der standardisierten Ausführungsumgebung für Container, haben eine Sicherheitslücke (CVE-2019-5736) geschlossen, die die Isolation der im Container gestarteten Software aushebelt. Runc-Entwickler Aleksa Sarai schreibt, dass die Sicherheitslücke es einem Container erlaubt, die Runc-Software selbst auszutauschen und damit das Host-System zu kompromittieren, in dem der Container läuft. Die Lücke betrifft die populäre Container-Software Docker, aber auch andere Containerlösungen, die auf Runc setzen.

Stellenmarkt
  1. Bundesgesellschaft für Endlagerung mbH (BGE), Peine
  2. ruhlamat GmbH, Marksuhl

Eigentlich sollten Container genau dazu dienen, Software in isolierten Umgebungen auszuführen. Eine Sicherheitslücke in einem Container soll gerade nicht dazu führen, dass das System selbst angegriffen werden kann. Durch die Sicherheitslücke in Runc wird also eine zentrale Eigenschaft von Containern untergraben.

Die Details der Lücke hat Sarai noch nicht bekanntgegeben. Aus der Beschreibung des Patches auf Github geht jedoch hervor, dass die Lücke mit dem Proc-Dateisystem zusammenhängt. Über den Pfad /proc/self/exec kann in Linux-Systemen eine Applikation auf ihre eigene ausführbare Datei zugreifen, dies wird hier wohl ausgenutzt, um die Runc-Datei auszutauschen.

Nutzer-Namespaces falsch benutzt

Ob ein System tatsächlich verwundbar ist, hängt von einigen wichtigen Details ab. Wenn etwa die Nutzer-Namespaces so verwendet werden, dass der Root-Nutzer des Hosts nicht in den Container gemappt wird, ist die Lücke nicht ausnutzbar. Die Technik der Nutzer-Namespaces ermöglicht es eigentlich, dass ein Prozess innerhalb des Containers mit der ID 0 des Root-Nutzers ausgeführt wird. Der Prozess hat so scheinbar volle Systemkontrolle. Allerdings lässt sich für diesen Prozess auf dem Hostsystem dann dank der Namespaces eine Nutzer-ID mit weniger Rechten vergeben.

Der für die Sicherheitslücke ausgenutzte Fehler besteht nun offenbar darin, durch eine falsche Verwendung der Nutzer-Namespaces dem Prozess mit Root-Rechten im Container auch auf dem Hostsystem Root-Rechte einzuräumen. So ist es dann natürlich leicht, den im Container kontrollierten Prozess auch außerhalb des Containers im Hostsystem zu manipulieren.

Laut den Entwicklern der Containerimplementierung LXC reicht es dazu offenbar aus, wenn eine Binärdatei im Container einfach zurück auf Runc im Host verweist. Zusätzlich dazu sind aber noch einige weitere Tricks notwendig, um Runc erfolgreich zu manipulieren.

Viele verschiedene Werkzeuge betroffen

Einen Exploit, der die Lücke ausnutzt, will Sarai in einer Woche veröffentlichen. Neben Docker sind auch andere Containerlösungen verwundbar, da Runc ein Standardwerkzeug für viele weitere Techniken ist. Dazu gehören CRI-O und Kubernetes oder auch kommerzielle Lösungen wie etwa Red Hats Openshift oder Suses Container-Plattformen. Für Amazons Web Services stehen bereits Erklärungen zu der Lücke bereit ebenso wie für Googles Cloud Platform.

Die alternative Containertechnik LXC, die Runc nicht verwendet, ist ebenfalls für eine Variante des Angriffs verwundbar. Das LXC-Projekt betrachtet dies aber nicht als Sicherheitslücke, da LXC Container mit Root-Rechten prinzipiell nicht als vertrauenswürdig einstuft. Laut Sarai haben auch die Entwickler von Apache Mesos bekanntgegeben, dass die Software für die Lücke verwundbar ist. Sarai vermutet außerdem, dass dies auch für weitere Containerlösungen gilt.



Anzeige
Top-Angebote
  1. ab 0,89€ (u. a. enthalten Distraint 2, Rusty Lake Paradise, Nex Machina, Shantae: Half-Genie Hero)
  2. (u. a. The Division 2 für 36,99€, Just Cause 4 für 17,99€, Kerbal Space Program für 7,99€)
  3. (u. a. Sandisk Plus 1-TB-SSD für 88,00€, WD Elements 4-TB-Festplatte extern für 79,00€)
  4. ab 419,00€

thomas.pi 13. Feb 2019

Ich habe schon vor fünf Jahren LXC rootless Clients eingesetzt, allerdings als OS Client...

Kommentator2019 12. Feb 2019

ergo? Services, die priv Container erfordern, läßt man in type I VMM und nur unpriv auf...


Folgen Sie uns
       


Seasonic TX-700 Fanless und The First - Hands on (Computex 2019)

Das Prime TX-700 Fanless vo Seasonic ist das derzeit stärkste passiv gekühlte Netzteil am Markt. Die kompaktere Variante namens PX-500 wiederum passt in das The First von Monsterlabo, ein Gehäuse, um 200-Watt-Komponenten passiv zu kühlen.

Seasonic TX-700 Fanless und The First - Hands on (Computex 2019) Video aufrufen
Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

    •  /