darask
New member
Docker— это ПО для автоматизации развёртывания и управления программами в средах с поддержкойконтейнеризации. Позволяет «упаковать» программу со всем еёокружениеми зависимостями в контейнер, который может быть перенесён на любуюLinux-систему с поддержкойcgroupsвядре, а также предоставляет среду по управлению контейнерами.
Специалисты по безопасности из Unit 42 организации Palo Alto Networks PoC-код для критической уязвимости в ПО Docker. Уязвимость CVE-2019-14271 затрагивает работу в Docker команды «cp» (copy) и её использование даёт возможность исполнить произвольный код в системе с правами суперпользователя.
Специалисты сообщают: «Уязвимость может быть эксплуатирована в случае, когда контейнер до этого был скомпрометирован с помощью другой атаки (к примеру, из-за другой уязвимости, утечки данных и прочего). Или когда пользователь запускает образ скомпрометированного контейнера из ненадёжного источника (реестра)».
Когда пользователь введёт команду «cp» для копирования файлов из вредоносного контейнера, у злоумышленника появляется возможность выйти из окружения контейнера и захватить контроль над хостом и другими контейнерами на нём.
Специалисты советуют тем, кто работает с Docker никогда не использовать ненадёжные образы и запускать контейнеры без прав суперпользователя, только если они не нужны.
«Если вы запускаете контейнер без прав суперпользователя, то ничего страшного не произойдёт. Даже если преступник получит доступ к вашему контейнеру, у него не получится перезаписать libnss-библиотеки, потому что для этого надо обладать правами суперпользователя, другими словами он не сможет эксплуатировать уязвимость», — отмечают специалисты.
Программисты из Docker исправили уязвимость в версии Docker 19.03.1 ещё летом 2019 года, но многие пользователи, возможно, не заметили обновление «из-за не совсем однозначного описания уязвимости и отсутствия опубликованного эксплоита».
Специалисты по безопасности из Unit 42 организации Palo Alto Networks PoC-код для критической уязвимости в ПО Docker. Уязвимость CVE-2019-14271 затрагивает работу в Docker команды «cp» (copy) и её использование даёт возможность исполнить произвольный код в системе с правами суперпользователя.
Специалисты сообщают: «Уязвимость может быть эксплуатирована в случае, когда контейнер до этого был скомпрометирован с помощью другой атаки (к примеру, из-за другой уязвимости, утечки данных и прочего). Или когда пользователь запускает образ скомпрометированного контейнера из ненадёжного источника (реестра)».
Когда пользователь введёт команду «cp» для копирования файлов из вредоносного контейнера, у злоумышленника появляется возможность выйти из окружения контейнера и захватить контроль над хостом и другими контейнерами на нём.
Специалисты советуют тем, кто работает с Docker никогда не использовать ненадёжные образы и запускать контейнеры без прав суперпользователя, только если они не нужны.
«Если вы запускаете контейнер без прав суперпользователя, то ничего страшного не произойдёт. Даже если преступник получит доступ к вашему контейнеру, у него не получится перезаписать libnss-библиотеки, потому что для этого надо обладать правами суперпользователя, другими словами он не сможет эксплуатировать уязвимость», — отмечают специалисты.
Программисты из Docker исправили уязвимость в версии Docker 19.03.1 ещё летом 2019 года, но многие пользователи, возможно, не заметили обновление «из-за не совсем однозначного описания уязвимости и отсутствия опубликованного эксплоита».