Abo
  • Services:

Runc: Sicherheitslücke ermöglicht Übernahme von Container-Host

Eine Sicherheitslücke ermöglicht es, dass Software aus einem Container ausbricht. Die Ausführungsumgebung Runc, mit der Container gestartet werden, kann überschrieben und so der Host übernommen werden. Docker und viele andere Lösungen sind verwundbar.

Artikel veröffentlicht am , Hanno Böck/
Viele gängige Containerlösungen unter Linux sind von einer Sicherheitslücke betroffen, womit das Hostsystem übernommen werden kann.
Viele gängige Containerlösungen unter Linux sind von einer Sicherheitslücke betroffen, womit das Hostsystem übernommen werden kann. (Bild: Roy Luck/Flickr.com/CC-BY 2.0)

Die Entwickler von Runc, der standardisierten Ausführungsumgebung für Container, haben eine Sicherheitslücke (CVE-2019-5736) geschlossen, die die Isolation der im Container gestarteten Software aushebelt. Runc-Entwickler Aleksa Sarai schreibt, dass die Sicherheitslücke es einem Container erlaubt, die Runc-Software selbst auszutauschen und damit das Host-System zu kompromittieren, in dem der Container läuft. Die Lücke betrifft die populäre Container-Software Docker, aber auch andere Containerlösungen, die auf Runc setzen.

Stellenmarkt
  1. pco Personal Computer Organisation GmbH & Co. KG, Osnabrück
  2. XENON Automatisierungstechnik GmbH, Dresden

Eigentlich sollten Container genau dazu dienen, Software in isolierten Umgebungen auszuführen. Eine Sicherheitslücke in einem Container soll gerade nicht dazu führen, dass das System selbst angegriffen werden kann. Durch die Sicherheitslücke in Runc wird also eine zentrale Eigenschaft von Containern untergraben.

Die Details der Lücke hat Sarai noch nicht bekanntgegeben. Aus der Beschreibung des Patches auf Github geht jedoch hervor, dass die Lücke mit dem Proc-Dateisystem zusammenhängt. Über den Pfad /proc/self/exec kann in Linux-Systemen eine Applikation auf ihre eigene ausführbare Datei zugreifen, dies wird hier wohl ausgenutzt, um die Runc-Datei auszutauschen.

Nutzer-Namespaces falsch benutzt

Ob ein System tatsächlich verwundbar ist, hängt von einigen wichtigen Details ab. Wenn etwa die Nutzer-Namespaces so verwendet werden, dass der Root-Nutzer des Hosts nicht in den Container gemappt wird, ist die Lücke nicht ausnutzbar. Die Technik der Nutzer-Namespaces ermöglicht es eigentlich, dass ein Prozess innerhalb des Containers mit der ID 0 des Root-Nutzers ausgeführt wird. Der Prozess hat so scheinbar volle Systemkontrolle. Allerdings lässt sich für diesen Prozess auf dem Hostsystem dann dank der Namespaces eine Nutzer-ID mit weniger Rechten vergeben.

Der für die Sicherheitslücke ausgenutzte Fehler besteht nun offenbar darin, durch eine falsche Verwendung der Nutzer-Namespaces dem Prozess mit Root-Rechten im Container auch auf dem Hostsystem Root-Rechte einzuräumen. So ist es dann natürlich leicht, den im Container kontrollierten Prozess auch außerhalb des Containers im Hostsystem zu manipulieren.

Laut den Entwicklern der Containerimplementierung LXC reicht es dazu offenbar aus, wenn eine Binärdatei im Container einfach zurück auf Runc im Host verweist. Zusätzlich dazu sind aber noch einige weitere Tricks notwendig, um Runc erfolgreich zu manipulieren.

Viele verschiedene Werkzeuge betroffen

Einen Exploit, der die Lücke ausnutzt, will Sarai in einer Woche veröffentlichen. Neben Docker sind auch andere Containerlösungen verwundbar, da Runc ein Standardwerkzeug für viele weitere Techniken ist. Dazu gehören CRI-O und Kubernetes oder auch kommerzielle Lösungen wie etwa Red Hats Openshift oder Suses Container-Plattformen. Für Amazons Web Services stehen bereits Erklärungen zu der Lücke bereit ebenso wie für Googles Cloud Platform.

Die alternative Containertechnik LXC, die Runc nicht verwendet, ist ebenfalls für eine Variante des Angriffs verwundbar. Das LXC-Projekt betrachtet dies aber nicht als Sicherheitslücke, da LXC Container mit Root-Rechten prinzipiell nicht als vertrauenswürdig einstuft. Laut Sarai haben auch die Entwickler von Apache Mesos bekanntgegeben, dass die Software für die Lücke verwundbar ist. Sarai vermutet außerdem, dass dies auch für weitere Containerlösungen gilt.



Anzeige
Top-Angebote
  1. (u. a. 256 GB 52,99€, 512 GB 69,00€)
  2. 149,00€
  3. 40,99€
  4. (u. a. Fernseher ab 127,90€)

thomas.pi 13. Feb 2019 / Themenstart

Ich habe schon vor fünf Jahren LXC rootless Clients eingesetzt, allerdings als OS Client...

Kommentator2019 12. Feb 2019 / Themenstart

ergo? Services, die priv Container erfordern, läßt man in type I VMM und nur unpriv auf...

Kommentieren


Folgen Sie uns
       


Galaxy S10e, Galaxy S10 und Galaxy S10 im Hands on

Samsung hat seine neue Galaxy-S10-Serie auf mehrere Bildschirmgrößen aufgeteilt. Besonders das "kleine" Galaxy S10e finden wir im Vorabtest interessant.

Galaxy S10e, Galaxy S10 und Galaxy S10 im Hands on Video aufrufen
Raumfahrt: Aus Marzahn mit der Esa zum Mond
Raumfahrt
Aus Marzahn mit der Esa zum Mond

Die Esa versucht sich an einem neuen Ansatz: der Kooperation mit privaten Unternehmen in der Raumforschung. Die PT Scientists aus Berlin-Marzahn sollen dafür bis 2025 einen Mondlander liefern.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Die Nasa will schnell eine neue Mondlandefähre
  2. Chang'e 4 Chinesische Sonde landet auf der Rückseite des Mondes
  3. Raumfahrt 2019 - Die Rückkehr des Mondfiebers?

Honor Magic 2 im Test: Die Smartphone-Revolution ist aufgeschoben
Honor Magic 2 im Test
Die Smartphone-Revolution ist aufgeschoben

Ein Smartphone, dessen vordere Seite vollständig vom Display ausgefüllt wird: Diesem Ideal kommt Honor mit dem Magic 2 schon ziemlich nahe. Nicht mit Magie, sondern mit Hilfe eines Slider-Mechanismus. Honor verschenkt beim Magic 2 aber viel Potenzial, wie der Test zeigt.
Ein Test von Tobias Czullay

  1. Honor Neues Magic 2 mit Slider und ohne Notch vorgestellt
  2. Huawei Neues Honor 8X kostet 250 Euro
  3. Honor 10 vs. Oneplus 6 Oberklasse ab 400 Euro

Mobile-Games-Auslese: Mit der Enterprise durch unendliche Onlineweiten
Mobile-Games-Auslese
Mit der Enterprise durch unendliche Onlineweiten

Weltraumspannung in Star Trek Fleet Command und Bananenrepublik zum Selberspielen in Tropico: Diese Mobile Games haben auch abseits ihrer großen Namen etwas zu bieten.
Von Rainer Sigl

  1. Mobile-Games-Auslese Große Abenteuer im kleinen Feiertagsformat
  2. Small Giant Games Zynga kauft Empires & Puzzles für 560 Millionen US-Dollar
  3. Mobile-Games-Auslese Taktische Tentakel und knuddelige Killer

    •  /