Unit 42 warnt vor Root-Betrieb von Containern

Anfällige Copy-Funktion von Docker

| Redakteur: Stephan Augsten

EIne Schwachstelle in früheren Docker-versionen erlaubt es, die Root-Kontrolle über den Host und alle anderen Container darin übernehmen.
EIne Schwachstelle in früheren Docker-versionen erlaubt es, die Root-Kontrolle über den Host und alle anderen Container darin übernehmen. (Bild: Palo Alto Networks)

Um Container-Nutzern zu zeigen, wie sie einer im Juli durch Docker offengelegte Schwachstelle begegnen können, hat Palo Alto Networks die Erkenntnisse eines Proof of Concepts veröffentlicht. Die Ergebnisse stammen von Unit 42, dem Threat Intelligence Team des Sicherheitsanbieters.

Die Sicherheitslücke, auf die sich der Proof of Concept von Unit 42 bezieht, lauert in der Copy-Funktion von Docker. Führt der Anwender den „docker cp“-Befehl aus, kann ein Angreifer die volle Root-Kontrolle über den Host und alle anderen Container darin übernehmen. Voraussetzung ist allerdings, dass der Container bei einem früheren Angriff kompromittiert wurde.

Als Beispiele hierfür nennt Palo Alto Networks eine alternative Schwachstelle, durchgesickerte Zugangsdaten oder ein kompromittiertes Container-Image von einer nicht vertrauenswürdigen Quelle. Um die Angriffsfläche für diese Art von Angriffen zu begrenzen, sei es dementsprechend zunächst einmal ratsam, nicht vertrauenswürdige Images unter keinen Umständen auszuführen.

Außerdem empfiehlt Palo Alto Networks dringend, Container als eingeschränkter Nutzer zu betreiben, sofern Root nicht unbedingt benötigt wird. So ließen sich viele der Fehler, die Container-Engines oder den Kernel betreffen, gar nicht erst ausnutzen. Für die maßgebliche Schwachstelle bedeutet das, dass ein Angreifer selbst in einem kompromittierten Container die libnss-Bibliotheken des Containers nicht überschreiben kann.

Die unter der Kennnummer CVE-2019-14271 gelistete und als kritisch bewertete Schwachstelle wurde mit der Docker-Version 19.03.1 behoben. Verwenden Unternehmen diese oder eine jüngere Docker-Version, sind sie dank eines integrierten Schwachstellen-Patches laut Unit 42 abgesichert.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46250620 / Container & Virtualisierung)