Bir dizi konteyner ortamı, iki Linux tabanlı konteyner aracındaki (runc ve BuildKit) hatalar nedeniyle konteyner kaçışına karşı savunmasızdır.
Runc, Linux’ta kapsayıcılar oluşturmak ve çalıştırmak için kullanılan bir komut satırı arabirimi (CLI) aracıdır ve Docker, AWS, Kubernetes ve daha fazlası dahil olmak üzere çeşitli ortamlarda kullanılmaktadır.
OSS-Sec e-posta listesine gönderilen bir uyarı belgesinde, CVE-2024-21626’nın, “tam kapsayıcının bozulmasına izin veren çeşitli yararlanma yöntemlerine” sahip, yüksek önemde bir “dahili dosya tanımlayıcı sızıntısı” olduğu belirtiliyor.
Öneride, “Yalnızca güvenilir görüntüleri çalıştırmanın ve kapsayıcılarda hiçbir zaman “runc exec” kullanmamanın dışında, soruna yönelik genel bir geçici çözüm yoktur ve bu nedenle kullanıcılara kurulumlarına mümkün olan en kısa sürede yama yapmaları şiddetle tavsiye edilir” ifadeleri yer alıyor.
Hatayı keşfetmesiyle tanınan Snyk, hatayı Leaky Vessels olarak adlandırdı ve bir blog yazısında şunu açıkladı: “Bir saldırgan, temeldeki ana bilgisayar işletim sistemine erişim sağladığında, hassas veriler de dahil olmak üzere sistemdeki her türlü veriye potansiyel olarak erişebilir. verileri (kimlik bilgileri, müşteri bilgileri vb.) ve daha fazla saldırı başlatın.
Runc’a 31 Ocak’ta yama uygulandı.
BuildKit bir Docker arka ucudur ve bir yarış koşulu olan CVE-2024-23651’den etkilenir; CVE-2024-23653, BuildKit’in GRPC Güvenlik Modu Ayrıcalık Denetiminde bir hata; ve CVE-2024-23652, “derleme sırasında kapsayıcıyı sökme isteğe bağlı silme” hatası.
Runc’ın geliştiricileri, hatayı düzeltmek için 1.1.12 sürümünü yayınladılar, ancak alt projelerin de güncellemeyi kendi yapılarına aktarmaları gerekiyor.
Snyk’e göre şimdiye kadar, GCP, Ubuntu ve AWS’de runc güncellenerek, Containernerd (Sürüm 1.6.28), Docker (BuildKit ve Moby güncellemelerinin yanı sıra güncellenmiş runc ile birlikte) için düzeltmeler kullanıma sunuldu.