ProHoster > Blog > litaba tsa inthanete > Ho ba kotsing ho runc ho lumellang ho baleha lijaneng tsa Docker le Kubernetes

Ho ba kotsing ho runc ho lumellang ho baleha lijaneng tsa Docker le Kubernetes

Ka har'a "runc toolkit" ea ho tsamaisa lijana tse ka thoko tse sebelisoang ho Docker le Kubernetes, ho ile ha fumanoa ts'oaetso ea CVE-2024-21626, e lumellang phihlello ea sistimi ea faele ea tikoloho ea moamoheli ho tsoa sejaneng se ka thoko. Nakong ea tlhaselo, mohlaseli a ka hlakola lifaele tse ling tse ka phethisoang sebakeng sa moamoheli mme ka hona a fihlelle ts'ebetsong ea khoutu ea hae kantle ho setshelo. Nakong ea crun le youki, e sebelisang runc, hammoho le LXC, bothata ha bo hlahe. Kotsi e ile ea lokisoa ho runc 1.1.12.

Ha u sebelisa lisebelisoa tsa Docker kapa Kubernetes, tlhaselo e ka etsoa ka ho lokisa setšoantšo sa setshelo se entsoeng ka mokhoa o khethehileng, ka mor'a ho kenya le ho qala moo FS e ka ntle e ka fumanoang ka setshelo. Ha u sebelisa Docker, hoa khoneha ho sebetsa ka Dockerfile e entsoeng ka ho khetheha. Kotsi e ka boela ea sebelisoa haeba lits'ebetso li hlahisoa ka har'a sets'oants'o ho sebelisoa taelo ea "runc exec" ka ho tlamella bukana ea ho sebetsa sebakeng sa mabitso sa tikoloho ea moamoheli.

Kotsi e bakoa ke ho lutla ha litlhaloso tsa lifaele tsa kahare. Pele o kenya khoutu ka har'a setshelo, runc e koala litlhaloso tsohle tsa faele o sebelisa folakha ea O_CLOEXEC. Leha ho le joalo, liketso tse latelang tsa setcwd () li siea tlhaloso ea faele e butsoe e supang bukana e sebetsang 'me e lula e fumaneha ka mor'a hore setshelo se qale. Maemo a 'maloa a mantlha a hlahisitsoe bakeng sa ho hlasela tikoloho ea moamoheli ho sebelisoa tlhaloso e setseng ea faele.

Mohlala, mohlaseli a ka hlakisa paramethara ea process.cwd setšoantšong sa sets'oants'o se supang “/proc/self/fd/7/”, e leng se tla fella ka tlamo ea ho sebetsa pid1 bukeng ea tšebetso ea sets'oants'o, e sebakeng sa moamoheli. sebaka sa thaba. Kahoo, setšoantšong sa sets'oants'o, o ka hlophisa ho qala "/proc/self/fd/7/../../../bin/bash" 'me, ka ts'ebetsong ea script ea khetla, hlakola likahare tsa “/proc/self/exe”, e bolelang kopi ea moamoheli ea /bin/bash.

Phapang e 'ngoe ea tlhaselo e lumella mohlaseli ea thibetsoeng ka har'a sets'oants'o ho fumana sebaka sa pokello ea tikoloho ea moamoheli haeba lits'ebetso tse lehlohonolo li ntse li sebetsa ka har'a sets'oants'o se boletsoeng ho sebelisa taelo ea runc exec ka khetho ea --cwd. Mohlaseli a ka nka sebaka sa tsela ea ts'ebetso e qalileng ka sehokelo sa tšoantšetso se supang "/proc/self/fd/7/" mme a fihlelle ho buloa ha "/proc/$exec_pid/cwd" ho fihlella FS ka lehlakoreng la moamoheli. Motho ea hlaselang a ka boela a fumana ho ngoloa ha lifaele tse ka phethoang ka lehlakoreng la tikoloho ea moamoheli ka ho hlophisa ho hlahisoa ha faele e sebetsang ho tsoa sebakeng se amohelang ("/proc/self/fd/7/../../../bin/ bash") ebe o ngola faele "/proc/$pid/exe", e bolelang faele e sebetsang.

Ntle le moo, likotsi tse ling tse hlano li se li khethiloe likarolong tsa sesebelisoa sa Docker:

  • CVE-2024-23651 ke boemo ba lebelo ka har'a sephutheloana sa BuildKit se sebelisoang ke Docker ho fetolela khoutu ea mohloli hore e be lintho tsa khale. Kotsi e bakoa ke ts'ebeliso ea sebaka se le seng se tloaelehileng se nang le cache (“-mount=type=cache,source=”) ka mekhahlelo ea kaho e entsoeng ka nako e tšoanang, e lumellang, ha o sebetsana le Dockerfile e entsoeng ka mokhoa o ikhethileng ho BuildKit, phihlello ea lifaele. tikolohong ea moamoheli ho tsoa ka setshelo sa kaho. Kotsi e tsitsitse ho BuildKit 0.12.5.
  • CVE-2024-23652 Phoso ea ho hlakola lifaele tse se nang letho tse etselitsoeng sebaka sa marang-rang ha u sebelisa khetho ea "--mount" e lumella ho hlakoloa ha faele ka ntle ho sets'oants'o ha o sebetsana le Dockerfile e entsoeng ka mokhoa o ikhethileng. Kotsi e tsitsitse ho BuildKit 0.12.5.
  • CVE-2024-23653 Ho na le bofokoli ts'ebetsong ea API ho BuildKit e lumella ts'ebetso ea setshelo hore e etsahale ka litokelo tse phahameng, ho sa tsotelehe boemo ba ts'ireletso.e sa sireletsehang. Kotsi e tsitsitse ho BuildKit 0.12.5.
  • CVE-2024-23650 Moreki ea khopo oa BuildKit kapa sebaka se ka pele se ka etsa hore ts'ebetso ea morao-rao ea BuildKit e senyehe. Kotsi e tsitsitse ho BuildKit 0.12.5.
  • CVE-2024-24557 ke chefo e ka bang teng ho Moby, e leng karolo ea ho aha lits'ebetso tse ikhethileng tsa ho itšehla thajana. Ka ho sebetsana le setšoantšo sa setshelo se entsoeng ka mokhoa o ikhethileng, o ka boloka data e ka sebelisoang mehatong e latelang ea ho aha. Ho ba kotsing ho lokisitsoe ho Moby 25.0.2 le 24.0.9.

Source: opennet.ru

Reka sebaka se tšepahalang sa libaka tse nang le ts'ireletso ea DDoS, li-server tsa VPS VDS 🔥 Reka sebaka se tšepahalang sa ho amohela webosaete ka tšireletso ea DDoS, li-server tsa VPS VDS | ProHoster