¿CVE-2016-0728 afectaría a Docker?

17

Terminé teniendo una discusión sobre Docker y la seguridad del sistema hoy y llegamos al punto en el que nos preguntamos acerca de la última versión de CVE-2016-0728 la vulnerabilidad (escalada de privilegios) afectaría también a los contenedores Docker.

Docker utiliza el kernel del sistema (que puede ser vulnerable) pero aísla al usuario (la raíz dentro de su propio espacio). Mis preguntas son las siguientes:

  • ¿CVE-2016-0728 afecta a las instancias de Docker?
  • ¿Podrán los usuarios dentro de un contenedor usar CVE-2016-0728 para salir del contenedor?
pregunta Sven van de Scheur 20.01.2016 - 14:06
fuente

3 respuestas

15

Esto no es una escalada de privilegios donde el código se ejecuta "solo" como un usuario con privilegios más altos. Este problema se relaciona con la ejecución de código dentro del kernel de Linux, es decir, el kernel que se comparte entre todas las instancias de docker y el sistema operativo que contiene las instancias de docker. Este es el privilegio más alto que se puede obtener y, en este nivel, se puede pasar por alto cualquier tipo de restricción. Esto significa que un usuario sin privilegios que pueda ejecutar este ataque puede salir del contenedor.

    
respondido por el Steffen Ullrich 20.01.2016 - 18:58
fuente
2

En primer lugar, sí; si su kernel soporta llaveros, entonces la ventana acoplable no impide su uso, lo que significa que tampoco evitan la explotación.

Pero vale la pena señalar que los contenedores de la ventana acoplable son no contenedores de seguridad. Si bien pueden y suelen ofrecer cierto nivel de seguridad, ese no es su propósito, y se tomaron decisiones de diseño que no son compatibles con la virtualización de código hostil. El aislamiento tiene que ocurrir en una capa por encima de eso.

    
respondido por el tylerl 22.01.2016 - 03:44
fuente
2

A partir de Docker 1.10, la respuesta es que esto no funcionaría con la instalación predeterminada, ya que la llamada al sistema keyctl está bloqueada por el filtro seccomp predeterminado.

    
respondido por el Rоry McCune 19.02.2016 - 18:19
fuente

Lea otras preguntas en las etiquetas