C’è un grave bug in runc, la runtime di Docker (e nemmeno LXC è al sicuro)

0

Brutto risveglio per gli utilizzatori di container questa mattina, all’interno di un messaggio apparso in nottata su seclist.org è stata annunciata l’esistenza di un grosso bug relativo alla runc.

Se il nome non vi dice nulla, basti sapere che runc è la runtime (l’insieme di tutto il codice utilizzato per interagire con le funzionalità di sistema relative ai container) alla base di Docker, containerd, Kubernetes e via dicendo.

Insomma, chiunque utilizzi i container deve prestare molta, moltissima attenzione. Nel dettaglio la falla è così descritta:

The vulnerability allows a malicious container to (with minimal user
interaction) overwrite the host runc binary and thus gain root-level
code execution on the host.

La vulnerabilità permette ad un container malevolo di riscrivere (con una minima interazione dell’utente) i binari runc dell’host ed in questo modo guadagnare i privilegi di root sullo stesso.

Basta quindi avere un container che giri con privilegi di root (di default è così che funziona Docker) che sia basato su un’immagine malevola ed il “gioco” è fatto.

Le patch al problema sono state pubblicate e questa mattina chiunque abbia lanciato un update sulla propria distribuzione avrà visto i propri pacchetti docker aggiornarsi.

Va precisato comunque come non sia solo Docker ad essere impattato dalla vulnerabilità, poiché nello stesso messaggio viene riportato che, sebbene in una forma più difficile da sfruttare, anche LXC soffre del problema.

Insomma, se avete sistemi in produzione, cercate di prevedere al più presto un update!

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.