C’è un grave bug in runc, la runtime di Docker (e nemmeno LXC è al sicuro)
Brutto risveglio per gli utilizzatori di container questa mattina, all’interno di un messaggio apparso in nottata su seclist.org è stata annunciata l’esistenza di un grosso bug relativo alla runc.
Se il nome non vi dice nulla, basti sapere che runc è la runtime (l’insieme di tutto il codice utilizzato per interagire con le funzionalità di sistema relative ai container) alla base di Docker, containerd, Kubernetes e via dicendo.
Insomma, chiunque utilizzi i container deve prestare molta, moltissima attenzione. Nel dettaglio la falla è così descritta:
The vulnerability allows a malicious container to (with minimal user
interaction) overwrite the host runc binary and thus gain root-level
code execution on the host.La vulnerabilità permette ad un container malevolo di riscrivere (con una minima interazione dell’utente) i binari runc dell’host ed in questo modo guadagnare i privilegi di root sullo stesso.
Basta quindi avere un container che giri con privilegi di root (di default è così che funziona Docker) che sia basato su un’immagine malevola ed il “gioco” è fatto.
Le patch al problema sono state pubblicate e questa mattina chiunque abbia lanciato un update sulla propria distribuzione avrà visto i propri pacchetti docker aggiornarsi.
Va precisato comunque come non sia solo Docker ad essere impattato dalla vulnerabilità, poiché nello stesso messaggio viene riportato che, sebbene in una forma più difficile da sfruttare, anche LXC soffre del problema.
Insomma, se avete sistemi in produzione, cercate di prevedere al più presto un update!
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale http://www.miamammausalinux.org per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
