2021-2543: runc: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2021-12-07 14:54)

Neues Advisory

Version 2 (2021-12-15 08:18)

Für SUSE Linux Enterprise Module for Containers 12 steht ein Sicherheitsupdate für 'runc' zur Behebung der Schwachstelle zur Verfügung.

Version 3 (2021-12-23 17:47)

Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'runc' zur Behebung der Schwachstellen zur Verfügung.

Version 4 (2021-12-27 09:15)

Für openSUSE Leap 15.2, SUSE MicroOS 5.0 und 5.1, SUSE Linux Enterprise Module for Containers 15 SP2 und SP3 sowie SUSE Enterprise Storage 7 stehen Sicherheitsupdates für 'runc' auf Version 1.0.3 zur Behebung der Schwachstelle zur Verfügung.

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux
Container
Hypervisor

Beschreibung:

Ein Angreifer mit gewisser Kontrolle über die Containerkonfiguration kann die Schwachstelle aus der Ferne ausnutzen, um Einschränkungen zu Umgehen, die auf Namensräumen (namespaces) basieren.

Der Hersteller weist darauf hin, dass die zur Ausnutzung der Schwachstelle notwendigen Voraussetzungen selbst ausreichen, um das Ziel des beschriebenen Angriffs zu erreichen und geht zusätzlich davon aus, dass der verwundbare Programmcodepfad nie in einem offiziellen Release von 'runc' vorhanden war. Das Problem wird dennoch durch einen Patch und alternativ durch ein Sicherheitsupdate auf runc 1.0.3 adressiert.

Debian stellt für Debian 9 Stretch (LTS) ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'runc' adressiert wird.

Schwachstellen:

CVE-2021-43784

Schwachstelle in runc ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.