Nan Toolkit pou jere kontenè izole Linux Docker vilnerabilite (), ki, nan yon seri sikonstans, pèmèt ou jwenn aksè nan anviwònman an lame soti nan yon veso si ou gen kapasite nan lanse imaj ou sou sistèm nan oswa ak aksè nan yon veso k ap kouri. Pwoblèm nan parèt nan tout vèsyon Docker epi li rete san solisyon (pwopoze, men li poko aksepte, , ki aplike sispansyon veso a pandan y ap fè operasyon ak FS la).
Vilnerabilite a pèmèt dosye yo dwe ekstrè soti nan yon veso nan yon pati abitrè nan sistèm dosye sistèm lame a lè egzekite "docker cp" kòmandman an. Ekstraksyon fichye fèt ak dwa rasin, sa ki fè li posib pou li oswa ekri nenpòt ki fichye nan anviwònman an lame, ki se ase yo pran kontwòl nan sistèm lame a (pa egzanp, ou ka recouvrir /etc/shadow).
Atak la ka fèt sèlman lè administratè a egzekite kòmandman "docker cp" pou kopye dosye nan oswa soti nan veso a. Kidonk, atakè a bezwen yon jan kanmenm konvenk administratè Docker a bezwen pou fè operasyon sa a ak predi chemen an itilize lè kopye. Nan lòt men an, yon atak ka fèt, pou egzanp, lè sèvis nwaj yo bay zouti pou kopye fichye konfigirasyon nan yon veso, ki te bati lè l sèvi avèk "docker cp" lòd la.
Pwoblèm nan koze pa yon defo nan aplikasyon fonksyon an , ki kalkile chemen absoli nan sistèm dosye prensipal la ki baze sou chemen relatif la, pran an kont plasman veso a. Pandan ke li egzekite "docker cp" kòmandman an, yon kout tèm , nan ki chemen an te deja verifye, men operasyon an poko fèt. Depi kopi a fèt nan yon kontèks sistèm dosye prensipal la nan sistèm lame a, nan yon peryòd tan espesifye, ou ka jere ranplase lyen an ak yon lòt chemen epi kòmanse kopye done nan yon kote abitrè nan sistèm nan dosye deyò a. veso.
Depi fennèt tan an pou yon kondisyon ras rive trè limite nan yon prepare Lè w ap fè operasyon kopi soti nan yon veso, li te posib reyalize yon atak siksè nan mwens pase 1% nan ka lè siklik ranplase yon lyen senbolik nan chemen an te itilize nan operasyon an kopi (atak la siksè te fèt apre apeprè 10 segonn nan tantativ. pou kontinyèlman kopye fichye a nan yon bouk ak lòd "docker cp" la).
Lè w fè yon operasyon kopi nan yon veso, ou ka reyalize yon atak reparèt dosye repete sou sistèm lame a nan jis kèk iterasyon. Posiblite pou atak se akòz lefèt ke lè kopye nan yon veso, yo itilize konsèp "chrootarchive", dapre ki pwosesis archive.go ekstrè achiv la pa nan chroot nan rasin veso a, men nan chroot nan. anyè paran nan chemen an sib, kontwole pa atakè a, epi yo pa sispann ekzekisyon an nan veso a (chroot yo itilize kòm yon siy eksplwate kondisyon ras).
Sous: opennet.ru
