Brutto risveglio per gli utilizzatori di container questa mattina, all’interno di un messaggio apparso in nottata su seclist.org è stata annunciata l’esistenza di un grosso bug relativo alla runc.
Se il nome non vi dice nulla, basti sapere che runc è la runtime (l’insieme di tutto il codice utilizzato per interagire con le funzionalità di sistema relative ai container) alla base di Docker, containerd, Kubernetes e via dicendo.
Insomma, chiunque utilizzi i container deve prestare molta, moltissima attenzione. Nel dettaglio la falla è così descritta:
The vulnerability allows a malicious container to (with minimal user
La vulnerabilità permette ad un container malevolo di riscrivere (con una minima interazione dell’utente) i binari runc dell’host ed in questo modo guadagnare i privilegi di root sullo stesso.
interaction) overwrite the host runc binary and thus gain root-level
code execution on the host.
Basta quindi avere un container che giri con privilegi di root (di default è così che funziona Docker) che sia basato su un’immagine malevola ed il “gioco” è fatto.
Le patch al problema sono state pubblicate e questa mattina chiunque abbia lanciato un update sulla propria distribuzione avrà visto i propri pacchetti docker aggiornarsi.
Va precisato comunque come non sia solo Docker ad essere impattato dalla vulnerabilità, poiché nello stesso messaggio viene riportato che, sebbene in una forma più difficile da sfruttare, anche LXC soffre del problema.
Insomma, se avete sistemi in produzione, cercate di prevedere al più presto un update!
Leggi il contenuto originale su Mia mamma usa Linux!