Common Container Manager es vulnerable a peligrosos …



La vulnerabilidad del administrador de contenedores es una de varias debilidades y vulnerabilidades reveladas recientemente para Docker.

Una vulnerabilidad en la forma en que un componente común de administración de contenedores genera un servicio llamado "shim" podría permitir que terceros no autorizados inicien contenedores con contenidos arbitrarios y niveles de permisos arbitrarios.

La vulnerabilidad, descubierta por investigadores de NCC Group, radica en la forma en que containerd, un tiempo de ejecución de contenedor central, y específicamente containerd-shim escuchan los sockets de dominio Unix en busca de mensajes relacionados con el contenedor que está administrando. Esta vulnerabilidad del administrador de contenedores es una de varias debilidades y vulnerabilidades reveladas recientemente para Docker y otros sistemas de administración de contenedores.

Por lo general, containerd-shim escucharía y crearía el contenedor utilizando un socket de dominio Unix abstracto. Estos sockets de dominio Unix abstractos están vinculados al espacio de nombres Unix en lugar de a una ruta de archivo en particular. Y esa vinculación más amplia es la fuente del problema.

Debido al vínculo del espacio de nombres, containerd-shim expondrá las API que pueden escapar del contenedor y ejecutar comandos privilegiados en el servidor host. Es por eso que a la vulnerabilidad se le ha dado un CVCC de 8.8.

NCC Group proporciona una serie de recomendaciones para hacer que los contenedores sean más seguros y señala que las versiones más recientes de contenedores tienen un parche para esta vulnerabilidad. CVE-2020-15257.

Para más, lea aquí.

Quick Hits de Dark Reading ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente original de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original