Vulnerabilidades detectadas en sistemas de contenedores

13/02/2019
Se ha detectado una vulnerabilidad que podría permitir a un atacante escapar de un contenedor a la máquina que lo contiene y además hacerlo como usuario privilegiado.

Riesgo: Alto Alto
Sistemas afectados:

Sistemas de contenedores Docker, LXC y derivados de ambos.

Descripción:

La vulnerabilidad ha sido descubierta por los investigadores Adam Iwaniuk y Borys Popławski, y afecta a la aplicación runc, utilizada para ejecutar contenedores de tipo Docker. Uno de los mantenedores de la aplicación ha conseguido realizar una prueba de concepto que también afectaría a LXC.

Para aprovechar el fallo, tan solo haría falta la descarga de un contenedor malicioso, que sobreescribiría el binario runc en la máquina host.

Referencias (CVE):
Solución:

Aplicar un parche a la aplicación afectada o configurar SELinux correctamente, lo que impediría la explotación.