2019-0297: runc: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes mit Administratorrrechten

Historie:

Version 1 (2019-02-12 13:48)

Neues Advisory

Version 2 (2019-02-13 12:03)

SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29 stehen Sicherheitsupdates für runc und Docker im Status 'testing' bereit.

Version 3 (2019-02-14 11:14)

Für das verwandte Problem in Flatpak wurde inzwischen der Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu installieren. Sophos Central setzt selbst Container-Software ein. Für die SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die Schwachstelle CVE-2019-5736 in 'docker-runc' zu beheben. Für openSUSE Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'runc' bereit. Für dieses Sicherheitsupdate wird zeitgleich 'go1.10' aktualisiert, wodurch weitere Schwachstellen behoben werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29 steht ein Sicherheitsupdate für 'docker-latest' im Status 'testing' zur Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate zur Behebung der Schwachstelle in 'flatpak' bereit.

Version 4 (2019-02-19 12:46)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'docker-runc' bereit, um die Schwachstelle CVE-2019-5736 zu beheben.

Version 5 (2019-02-19 13:27)

VMware informiert darüber, dass die Schwachstelle in runc auch eigene Produkte betrifft und nennt in diesem Kontext die Produkte VMware Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x und 1.3.x, die VMware vCloud Director Container Service Extension (CSE) 1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.

Version 6 (2019-02-19 17:40)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'runc' bereit. Das Update erfordert eine aktualisierte Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.

Version 7 (2019-02-20 10:37)

Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS 7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node 7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den Sicherheitshinweis VMSA-2019-0001 und informiert darin über die Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur Behebung der Schwachstelle CVE-2019-5736 in runc.

Version 8 (2019-02-26 10:55)

VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und 1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.

Version 9 (2019-02-26 11:00)

Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als Sicherheitsupdate zur Behebung der Schwachstelle.

Version 10 (2019-02-26 15:20)

Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4, 3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.

Version 11 (2019-02-27 11:15)

Für SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 und SUSE Linux Enterprise Module for Containers 15 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'runc' bereit. Die Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.

Version 12 (2019-02-27 13:50)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'docker-runc' bereit, um die Schwachstelle CVE-2019-5736 zu beheben.

Version 13 (2019-03-07 11:23)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'containerd', 'docker', 'docker-runc', 'golang-github-docker-libnetwork' und 'runc' bereit. Die Behebung der Schwachstelle in 'runc' erfordert eine aktualisierte Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.

Version 14 (2019-03-11 12:01)

Für SUSE OpenStack Cloud 6 LTSS und SUSE Linux Enterprise Module for Containers 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'runc' bereit. Die Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden. Ferner wird die Schwachstelle CVE-2016-9962 in Docker gelistet, welche einem entfernten, einfach authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren.

Version 15 (2019-04-01 12:51)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'containerd', 'docker', 'docker-runc', 'golang-github-docker-libnetwork' und 'runc' bereit. Die Behebung der Schwachstelle in 'runc' erfordert eine aktualisierte Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.

Version 16 (2019-04-18 17:51)

Für openSUSE Backports SLE 15 stehen Sicherheitsupdates für 'lxc' und 'lxcfs' auf die Version 3.1.0 zur Verfügung. Mit diesen Sicherheitsupdates wird zusätzlich zur Schwachstelle CVE-2019-5736 die Schwachstelle CVE-2018-6556 behoben, die ein lokaler, nicht authentisierter Angreifer für das Ausspähen von Informationen, Durchführen von Denial-of-Service- und eventuell weiteren, nicht näher spezifizierten Angriffen ausnutzen kann.

Version 17 (2019-04-26 11:59)

openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0 Sicherheitsupdates für 'lxc' und 'lxcfs' auf die Version 3.1.0 und behebt damit neben der Schwachstelle CVE-2019-5736 auch die Schwachstelle CVE-2018-6556. Die letztgenannte Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer das Ausspähen von Informationen, Durchführen von Denial-of-Service- und eventuell weiteren, nicht näher spezifizierten Angriffen.

Version 18 (2019-05-07 15:08)

Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für das 'container-tools:rhel8 module' bereit. Die Updates stehen unter anderem für Red Hat Enterprise Linux for ARM 64 8 und Red Hat Enterprise Linux for x86_64 8 zur Verfügung.

Version 19 (2019-08-05 19:06)

Oracle veröffentlicht für Oracle Linux 8 (aarch64, x86_64) Sicherheitsupdates für 'container-tools:rhel8', um die Schwachstelle CVE-2019-5736 und nicht sicherheitsrelevante Fehler zu beheben.

Version 20 (2019-08-30 14:05)

Für Fedora 29 und 30 stehen Sicherheitsupdates für Linux Containers (LXC) auf Version 3.0.4 im Status 'testing' bereit, um die Schwachstelle CVE-2019-5736 und weitere nicht sicherheitsrelevante Fehler zu beheben.

Version 21 (2019-10-04 16:50)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'lxc' auf Version 3.2.1 bereit, um die Schwachstelle CVE-2019-5736 zu beheben.

Version 22 (2019-10-08 11:47)

Für openSUSE Backports SLE 15 SP1 steht ein Sicherheitsupdate für 'lxc' auf Version 3.2.1 bereit, um die Schwachstelle CVE-2019-5736 zu beheben.

Version 23 (2021-04-29 10:26)

Für Oracle Linux 7 steht ein Sicherheitsupdate für 'runc' bereit.

Betroffene Software

Entwicklung
Netzwerk
Sicherheit
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle
VMware
Container
Hypervisor

Beschreibung:

Ein Angreifer kann eine Schwachstelle in runc lokal ausnutzen, um beliebige Kommandos mit den Rechten von 'root' auf dem Host-Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit 'root'-Rechten zur Erstellung eines neuen Containers aus einem speziell präparierten Container-Image oder zur Ausführung eines Befehls in einem speziell präparierten Container über 'docker exec' verleiten. Die Schwachstelle ist unter dem Namen 'RUNCESCAPE' bekannt. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten haben.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise Linux 7 Extras Sicherheitsupdates für 'runc' und 'docker' bereit, um diese Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung. Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für 'runc' bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich CVE-2016-9962 erwähnt, die für 'docker' auf dieser Plattform bereits behoben wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu 18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für 'runc' und 'docker.io' veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-Repository für 'legacy' runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder Zugriff auf den präparierten Container temporär kopiert und auf Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak nur mit 'root'-Rechten läuft, wenn das Skript 'apply_extra' während der systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen Sicherheitsupdates auf diese Versionen im Status 'testing' bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in jedem Fall geblockt ist, da beispielsweise für 'moby-engine' der Container-Prozess als 'container_runtime_t' und nicht als 'container_t' läuft. Fedora stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für 'moby-engine' bereit. Diese Updates befinden sich im Status 'testing'.

Schwachstellen:

CVE-2019-5736

Schwachstelle in runc ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-8308

Schwachstelle in Flatpak ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.