Опасная уязвимость в системе управления контейнерами runc

Опубликованы подробности опасной уязвимости в системе управления контейнерами runc. Runc применяется для управления решениями на базе Docker, Kubernetes, LXC и некоторых других систем контейнеризации. Там же доступно оперативное исправление для уязвимости.

Уязвимость, обнаруженная исследователями Адамом Иванюком и Борисом Поплавским (Adam Iwaniuk, Borys Popławski), позволяет злоумышленнику при доступе к контейнеру переписать файл runc на хост-системе и тем самым получить на хост-системе полномочия суперпользователя. Для успешного выполнения атаки требуется возможность выполнить команду с полномочиями суперпользователя в контейнере и ещё при некоторых обстоятельствах.

Настройки по умолчанию систем защиты AppArmor и SELinux не гарантируют защиты от уязвимости.

Уязвимости присвоен идентификатор CVE-2019-5736.


Возврат к списку