一個(gè)未打補(bǔ)丁的漏洞影響所有版本的 Docker �����!
時(shí)間:2019-06-06
所有版本的Docker目前都容易受到一種競態(tài)條件(race condition)的攻擊,這種競態(tài)條件可能使攻擊者對主機(jī)系統(tǒng)上的任何文件擁有讀取權(quán)限和寫入權(quán)限��。概念驗(yàn)證代碼已發(fā)布��。
該漏洞類似CVE-2018-15664���,它為黑客修改資源路徑提供了一個(gè)機(jī)會窗口���,這個(gè)機(jī)會窗口出現(xiàn)在路徑被解析之后�,但被分配的程序開始對資源進(jìn)行操作之前的時(shí)間點(diǎn)����。這被稱為檢查時(shí)間/使用時(shí)間(TOCTOU)類型的漏洞。
訪問主機(jī)上的文件
究其核心�����,該漏洞源于FollowSymlinkInScope函數(shù)����,該函數(shù)容易受到基本的TOCTOU攻擊的影響�。這個(gè)函數(shù)的目的是如同進(jìn)程在Docker容器的內(nèi)部那樣對待進(jìn)程,以一種安全的方式來解析指定的路徑�。
并不立即針對解析的路徑進(jìn)行操作,而是“稍微過一段時(shí)間進(jìn)行操作”�。攻擊者可以推測這個(gè)時(shí)間差,添加一條符號鏈(symlink)路徑����,該路徑可能最終解析擁有root權(quán)限的主機(jī)。
這可以通過“docker cp”實(shí)用程序來實(shí)現(xiàn)�,該實(shí)用程序允許在容器和本地文件系統(tǒng)之間復(fù)制內(nèi)容。早在2014年就出現(xiàn)過類似的漏洞����。
Suse的高級軟件工程師Aleksa Sarai在安全公告中寫道:“據(jù)我所知��,對這種攻擊沒有任何有意義的防護(hù)(除了不允許對運(yùn)行中的容器執(zhí)行docker cp�,但這只有助于應(yīng)對通過FollowSymlinkInScope實(shí)現(xiàn)的特定攻擊���。)除非你通過AppArmor限制了Docker守護(hù)進(jìn)程��,否則它會影響主機(jī)文件系統(tǒng)���。”
應(yīng)對方法和漏洞腳本
在Hacker News網(wǎng)站上,一則討論帖子提供了潛在的應(yīng)對方法�,不過它們有賴于實(shí)際環(huán)境的背景和目的。
Sarai提議的一種應(yīng)對辦法是修改“chrootarchive”����,以便歸檔操作在安全的環(huán)境中運(yùn)行,其中root是容器“rootfs”�����。這需要更 Docker的核心部分�,因此這不可行。
其次的辦法是在使用文件系統(tǒng)時(shí)暫停容器�。這無法阻止所有攻擊�,但可以防御較基本的攻擊���。補(bǔ)丁已向上游提交�,目前仍在審核中���。
這位工程師還編寫了兩個(gè)漏洞腳本:一個(gè)腳本用于讀取訪問��,另一個(gè)用于寫入訪問���,其中二進(jìn)制代碼通過運(yùn)行“a RENAME_EXCHANGE of a symlink to "/" and an empty directory in a loop”,試圖達(dá)到競態(tài)條件��。Sarai稱�,這兩個(gè)腳本的目的是將文件復(fù)制到含有修改后的符號鏈接的路徑����,或從該路徑復(fù)制文件。
從處于競態(tài)條件下的主機(jī)系統(tǒng)讀取任意內(nèi)容的攻擊代碼其成功率不到1%����。這個(gè)成功率可能看起來很低,但實(shí)際上相當(dāng)于等待10秒鐘攻擊就能得逞���。
有了將資源寫入到主機(jī)上的腳本���,就有可能“僅用極少的迭代就可以覆蓋主機(jī)文件系統(tǒng)”�����。
在公開宣布這個(gè)漏洞之前����,Sarai與Docker安全團(tuán)隊(duì)討論了這個(gè)問題�����,最后得出了披露是合理的這一結(jié)論�。(來源:云頭條)
在線咨詢
在線咨詢
0371-63319761