最近、SUSEのセキュリティ専門家からAleksaサライは番号CVE-2018から15664ドッキングウィンドウ関連のリスクの高いセキュリティの脆弱性の、8.7のCVSSの脆弱性スコアを発表し、影響は攻撃者は、コンテナの読み取りから脆弱性の脱出を悪用する可能性があり、すべてのドッキングウィンドウのリリースをカバーするためにでした取るか、攻撃面を減らすために、一時的なプログラムを与えられているとリリースされる次期バージョンをリリースする予定の任意の容器または他の現在のドッキングウィンドウの公式のホストファイルを改ざん。
脆弱性の説明
脆弱性の根が原因FollowSymlinkInScope TOCTTOU機能の使用にトリガされる(時間型チェックする -timeさの使用) ファイルシステムの競合状態の欠陥を。この機能コードは、ソースコードよりドッカーで使用され、最も直接的には、ドッカーのcpコマンドです。サライの説明によれば:FollowSymlinkInScope役割がコンテナファイルパス解決プロセスで実行されているので、理論的には、攻撃者は、解析の完了との間のギャップを使用することができ、確認操作がCPは、対応するターゲット・ファイルへのシンボリックリンクファイルを変更行わ攻撃者は、ルート内のホストまたは他の容器上の任意のファイルへのアクセスを得ることができました。
公式の説明によると、攻撃者は、最初にターゲットコンテナドッキングウィンドウのcpコマンドへのアクセス許可とアクセス権を持っている必要がありますし、攻撃だけでミリ秒のウィンドウ内のコピー操作の実装を完了するために、ファイルのコピー処理を解析に発生する可能性があります。攻撃は、該当するユーザーのドッキングウィンドウコンテナはあまり心配する必要はありませんので、のは、脆弱性を修復中に、関連する進歩を紹介させ、難易度とかなりの専門的背景の特定の学位を持っています。
対策:
幸いなことに、「ドッキングウィンドウCPは」コマンドは、脆弱性公開の範囲内で一意である外部インタフェース、ドッカコミュニティすぐに与えられた一時的なリハビリテーションプログラム、この方式では、公式には、ドッキングウィンドウのcpコマンドドッキングウィンドウを一時停止する前に実行を使用することをお勧めしますコマンドとcpコマンドの後にドッキングウィンドウ停止解除を実行します。来月のリリースバージョンでは、一時停止や停止解除コマンドが自動的にコンテナのコンテナファイルのデータを凍結する工程を経てブロックコピーを改ざん、cpコマンドを実行するプロセスに追加されます。
同時に、サライも、根本的な修正にchrootarchiveアーカイブ・ロジックを変更し、脆弱性を指摘した(それが攻撃者によって制御されている可能性としてではなく、親ディレクトリ)、あなたはコンテナとしてrootfsのルートを使用する必要があります。chrootarchiveがドッキングウィンドウ基盤となるソースコードに属しているため、変更はタール/ untarし、その他の関連するインタフェースとして影響を与えますので、基本的に修復されていないが、現在のPR関連の修理が送信されました、私はコミュニティにも対応していると考えているパッチプログラム。また、カーネルレベルの中で作られたほかサライでの修正、当然のことながら、この変更を根底に行くために短期的には脆弱性のドッキングウィンドウを修正するために適用されるべきではありません。
どのように短期のを防ぐために:
脆弱性攻撃、攻撃者は、ドッキングウィンドウのCPコマンドの使用権を持っていることを前提として、アリクラウドクラスターコンテナサービスはデフォルトRBACベースのアクセス制御で有効になっているが、権限のないユーザーがコンテナにcpコマンドにアクセスできなくそこにあります。攻撃者はcpコマンドへの不正アクセスを得ることができたために、我々はいくつかの提案の下に与えます:
1)ドッカーのcpコマンドの使用制御
)2ドッカーCPドッカーpauseコマンドおよび一時停止を解除ドッカー前と後に実行される
。3)このような関連の監査を監視するための容器に敏感ホストディレクトリにAppArmorの制限アクセスなどのツールの使用の合理化