Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in runC mette a rischio un gran numero di sistemi IT

runC   martedì, 12 febbraio 2019

È stata scoperta una grave vulnerabilità (CVE-2019-5736) in runC, un ambiente di runtime universale e leggero per contenitori che aderisce alle specifiche della Open Container Initiative (OCI).

A differenza delle macchine virtuali, i contenitori, o container, non virtualizzano l’intero hardware sottostante, ma solamente il sistema operativo. Ogni container condivide l’utilizzo del kernel del sistema operativo e, solitamente, anche librerie e binari, sia su Linux, sia su Windows.

L’ambiente runC è alla base di molti sistemi di virtualizzazione di largo utilizzo basati su contenitori, prevalentemente in ambiente Linux, quali Docker, containerd, Kubernetes e CRI-O. Stando a quanto riportato dagli stessi sviluppatori di runC, la vulnerabilità consente ad un programma malevolo in esecuzione all’interno di un container di uscire dai limiti del contenimento e di ottenere i diritti di esecuzione di root sull’intero host sottostante, compromettendo potenzialmente tutti i contenitori in esecuzione su di esso.

Sono ipotizzati due scenari di attacco:

  • l’attaccante crea un nuovo contenitore malevolo utilizzando un’immagine appositamente predisposta;
  • l’attaccante inserisce il codice malevolo in un contenitore esistente per il quale ha ottenuto i privilegi di accesso in scrittura.

Gli sviluppatori di runC hanno pubblicato una patch ufficiale per risolvere questa vulnerabilità. Tutti i progetti che includono runC dovranno integrare questa modifica al più presto. Docker ha già rilasciato la versione v18.09.2 che integra la soluzione. Altri produttori sono al lavoro sugli aggiornamenti necessari.

Per maggiori informazioni su questa vulnerabilità, sui sistemi e prodotti affetti e sugli aggiornamenti disponibili, è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità in prodotti Cisco (20 febbraio 2019)

21 febbraio 2019

Cisco ha rilasciato il 20 febbraio 2019 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto

Aggiornamento di sicurezza per prodotti VMware

18 febbraio 2019

VMware ha rilasciato un avviso di sicurezza relativo alla presenza in svariati prodotti di una grave vulnerabilità nell'ambiente di runtime per container runC.Leggi tutto