Ua ʻike ʻia kahi palupalu (CVE-2024-21626) ma ka runc toolkit no ka hoʻokuʻu ʻana i nā ipu kaʻawale, i hoʻohana ʻia ma Docker a me Kubernetes. Hiki i kēia nāwaliwali ke komo i ka ʻōnaehana faila o ka mea hoʻokipa mai loko o kahi pahu kaʻawale. I ka wā o ka hoʻouka ʻana, hiki i ka mea hoʻouka ke kākau i kekahi mau faila i hiki ke hoʻokō ʻia i loko o ka puni hoʻokipa, a laila e hoʻokō i kā lākou code ma waho o ka pahu. ʻAʻole pili ka pilikia i ka crun a me youki runtimes, e hoʻohana ana i ka runc, a i ʻole LXC. Ua hoʻopaʻa ʻia ka vulnerability ma runc 1.1.12.
I ka hoʻohana ʻana i nā mea hana Docker a i ʻole Kubernetes, hiki ke hana i kahi hoʻouka kaua ma o ka hoʻomākaukau ʻana i kahi kiʻi pahu i hana ʻia. Ke kau ʻia a hoʻokuʻu ʻia, hiki i ka ipu ke komo i kahi ʻōnaehana faila waho. Ke hoʻohana nei iā Docker, hiki ke hoʻohana ʻia ma o kahi Dockerfile i hana ʻia. Hiki ke hoʻohana ʻia ka vulnerability ma ka hoʻomaka ʻana i nā kaʻina hana i loko o ka ipu me ke kauoha "runc exec" ma o ka hoʻopaʻa ʻana i ka papa kuhikuhi hana i ka host environment namespace.
Hoʻokumu ʻia ka nāwaliwali e ka leak o nā mea wehewehe faila kūloko. Ma mua o ka holo ʻana i ke code i loko o kahi pahu, pani ʻo runc i nā mea wehewehe faila me ka hoʻohana ʻana i ka hae O_CLOEXEC. Eia nō naʻe, ma hope o ka hoʻokō ʻana o ka hana setcwd(), wehe ʻia kahi wehewehe faila e kuhikuhi ana i ka papa kuhikuhi hana a hiki ke loaʻa ma hope o ka hoʻomaka ʻana o ka ipu. Hoʻolālā ʻia kekahi mau hiʻohiʻona hoʻouka kaua kūʻē i ke kaiapuni hoʻokipa me ka hoʻohana ʻana i kēia mea wehewehe faila i koe.
No ka laʻana, hiki i ka mea hoʻouka ke hoʻonohonoho i ka ʻāpana process.cwd i loko o kahi kiʻi pahu e kuhikuhi i "/proc/self/fd/7/," e hoʻopaʻa i ke kaʻina pid1 i loko o ka ipu i kahi papa kuhikuhi hana i loaʻa i ka lewa mauna o ka host environment. No laila, hiki ke hoʻonohonoho ʻia ke kiʻi pahu e hoʻomaka i "/proc/self/fd/7/../../../bin/bash" a, ma o ka hoʻokō ʻana i ka shell script, e kākau i nā mea o "/proc/self/exe," e kuhikuhi ana i ke kope o ka host / bin/bash.
ʻO kekahi ʻano hoʻouka kaua ʻē aʻe e ʻae i ka mea hoʻouka i hoʻopaʻa ʻia i loko o kahi pahu e kiʻi i ka papa kuhikuhi kaiapuni host inā hoʻomaka ʻia nā kaʻina hana pono i loko o ka pahu i kuhikuhi ʻia me ka hoʻohana ʻana i ke kauoha "runc exec" me ke koho "--cwd". Hiki i ka mea hoʻouka ke hoʻololi i ke ala o ke kaʻina hana i hoʻokuʻu ʻia me kahi loulou hōʻailona e kuhikuhi ana i "/proc/self/fd/7/" a wehe i "/proc/$exec_pid/cwd" e komo i ka ʻōnaehana waihona ʻaoʻao. Hiki i ka mea hoʻouka ke kākau hou i nā faila i hiki ke hoʻokō ʻia ma ke kaiapuni hoʻokipa ma o ka hoʻomaka ʻana i kahi faila hoʻokō mai ka host environment ("/proc/self/fd/7/../../../bin/bash") a laila kākau i ka "/proc/$pid/exe" file e kuhikuhi ana i ka faila i hoʻokuʻu ʻia.
Hoʻohui ʻia, ʻelima mau mea nāwaliwali i ʻike ʻia i nā mea hana Docker toolkit:
- ʻO CVE-2024-23651 kahi kūlana lāhui i BuildKit, kahi pūʻolo i hoʻohana ʻia e Docker e hoʻololi i ka code kumu i kūkulu ʻia i nā mea hana. Hoʻokumu ʻia ka haʻahaʻa ma muli o ka hoʻohana ʻana i kahi wahi mauna kaʻana like me kahi huna ("--mount=type=cache,source=") ma nā pae kūkulu like. Hāʻawi kēia i ke komo ʻana i nā faila i loko o ke kaiapuni hoʻokipa mai ka pahu kūkulu i ka wā e hana ai i kahi Dockerfile i hana ʻia ma BuildKit. Hoʻopaʻa ʻia ka nāwaliwali ma BuildKit 0.12.5.
- CVE-2024-23652 - He hewa i ka holoi ʻana i nā faila ʻole i hana ʻia no kahi mauna i ka wā e hoʻohana ai i ke koho "--mount" e hiki ai ke holoi i nā faila ma waho o ka pahu i ka wā e hana ai i kahi Dockerfile i hana ʻia. Hoʻopaʻa ʻia kēia nāwaliwali ma BuildKit 0.12.5.
- CVE-2024-23653 — Hiki i ka hewa hoʻokō API ma BuildKit ke hoʻokō i kahi pahu me nā pono kiʻekiʻe, me ka nānā ʻole i ka hoʻonohonoho security.insecure. Hoʻopaʻa ʻia kēia nāwaliwali ma BuildKit 0.12.5.
- CVE-2024-23650 — Hiki i ka mea kūʻai aku ʻo BuildKit maikaʻi ʻole ke kumu e hāʻule ai kahi kaʻina hana BuildKit. Hoʻopaʻa ʻia kēia nāwaliwali ma BuildKit 0.12.5.
- ʻO CVE-2024-24557 kahi mea ʻawaʻawa huna huna ma Moby, kahi ʻāpana no ke kūkulu ʻana i nā ʻōnaehana hoʻokaʻawale ipu. I ka hana ʻana i kahi kiʻi pahu i hana ʻia, hiki ke hūnā i ka ʻikepili i hiki ke hoʻohana ʻia i nā pae kūkulu ma hope. Hoʻopaʻa ʻia ka nāwaliwali ma Moby 25.0.2 a me 24.0.9.
Source: opennet.ru
