கன்டெய்னருக்கு வெளியே குறியீட்டை இயக்க அனுமதிக்கும் பாதிப்பை அவர்கள் கண்டறிந்தனர் மற்றும் டோக்கர் மற்றும் குபெர்னெட்ஸை பாதிக்கின்றனர்

பாதிப்பு

சுரண்டப்பட்டால், இந்த குறைபாடுகள் தாக்குபவர்கள் முக்கியமான தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெற அனுமதிக்கலாம் அல்லது பொதுவாக சிக்கல்களை ஏற்படுத்தும்

சமீபத்தில் வெளியான செய்தி டிரன்சியில் புதிய பாதிப்புகளைக் கண்டறிதல் (லினக்ஸில் கொள்கலன்களை உருவாக்குவதற்கும் இயக்குவதற்கும் ஒரு CLI கருவி) CVE-2024-21626 மற்றும் BuildKit இல் (CVE-2024-23651, CVE-2024-23652 மற்றும் CVE-2024-23653), இருப்பது மிகவும் கவலைக்குரிய ஒன்று CVE-2024-21626, ஹோஸ்ட் இயக்க முறைமையின் கோப்பு முறைமைக்கான அணுகலை அனுமதிக்கும் ஒரு முக்கியமான பாதிப்பு என்பதால்.

CVE-2024-21626 தனிமைப்படுத்தப்பட்ட கொள்கலனில் இருந்து ஹோஸ்ட் சூழல் கோப்பு முறைமைக்கான அணுகலை அனுமதிக்கிறது. தாக்குதலின் போது, ​​தாக்குபவர் ஹோஸ்ட் சூழலில் சில இயங்கக்கூடிய கோப்புகளை மேலெழுதலாம் மற்றும் அவற்றின் குறியீட்டை கொள்கலனுக்கு வெளியே இயக்கலாம்.

இது குறிப்பாக குபெர்னெட்டஸ் போன்ற சூழல்களில் தொடர்புடையது, அங்கு கொள்கலன்கள் பகிரப்பட்ட முனைகளில் இயங்குகின்றன. இந்த பாதிப்பைப் பயன்படுத்துவதன் மூலம், தாக்குபவர் ஹோஸ்ட்டின் மீது சலுகை பெற்ற கட்டுப்பாட்டைப் பெறலாம், அதே முனையில் உள்ள பிற பாட்கள் மற்றும் பிற தரவுகளுக்கு அங்கீகரிக்கப்படாத அணுகலை வழங்கலாம்.

மேலும், இந்த பாதிப்பு கொள்கலன் சூழலில் இயங்கும் உருவாக்க செயல்முறைகளையும் பாதிக்கிறது, தாக்குதல் நடத்துபவர்களுக்கு ஒரு கட்ட செயல்முறைக்குள் கால் பதிக்க வாய்ப்பளிக்கிறது. இந்த காட்சி தாக்குபவர் உயர்ந்த நற்சான்றிதழ்களைப் பெறுவதற்கு வழிவகுக்கும், இது முக்கியமான உற்பத்திப் பணிச்சுமைகள் அல்லது பிற முக்கியமான சூழல்களுக்கான அணுகலை உங்களுக்கு வழங்கும். சாராம்சத்தில், தகவல் கசிவு அல்லது தன்னிச்சையான குறியீட்டை செயல்படுத்துவதைத் தாண்டி தாக்கம் நீண்டுள்ளது, மேலும் முழு வளர்ச்சி மற்றும் உற்பத்தி சூழலின் ஒருமைப்பாடு மற்றும் பாதுகாப்பை சமரசம் செய்யலாம்.

Docker அல்லது Kubernetes பயன்படுத்தப்படும் சூழல்களில், சிறப்பாக வடிவமைக்கப்பட்ட கொள்கலன் படத்தைப் பயன்படுத்தி தாக்குதலை மேற்கொள்ளலாம். இந்தப் படம் நிறுவப்பட்டு தொடங்கப்பட்டதும், தாக்குபவர் கண்டெய்னரிலிருந்து வெளிப்புற கோப்பு முறைமையை அணுக முடியும். டோக்கரைப் பொறுத்தவரை, சிறப்பாக வடிவமைக்கப்பட்ட Dockerfile மூலம் செயல்பட முடியும். "runc exec" கட்டளையைப் பயன்படுத்தி ஒரு கொள்கலனில் செயல்முறைகள் தொடங்கப்பட்டு, ஹோஸ்ட் சூழலின் பெயர்வெளியுடன் வேலை செய்யும் கோப்பகத்தை இணைத்தால், பாதிப்பை பயன்படுத்திக் கொள்ளலாம்.

முக்கிய பிரச்சனை கோப்பு விளக்கக் கசிவு மற்றும் O_CLOEXEC செய்யும் போது அனைத்து கொள்கலன் குறியீடு, கோப்பை இயக்கும் முன் கோப்பு விளக்கங்கள் setcwd(2) செய்யும் போது descriptor திறந்திருக்கும், அதாவது குறிப்பு இன் வேலை முறையை அமைப்பதன் மூலம் கொள்கலனில் உயிருடன் வைத்திருக்க முடியும் கோப்பு விளக்கத்தின் மூலம் தீர்க்கப்பட்ட பாதையாக அடைவு (yeexecve(2)க்குப் பிறகு டம்பபிள் பிட் அமைக்கப்படவில்லை, அதாவது உள்ளது மோசமான உள்ளமைவுகளைத் தவிர இதைத் தாக்க பல வழிகள்).

பாதிப்புக்கான காரணம் உள்ளக கோப்பு விளக்கங்களின் கசிவில் உள்ளது. கொள்கலனுக்குள் குறியீட்டை இயக்குவதற்கு முன், O_CLOEXEC கொடியைப் பயன்படுத்தி அனைத்து கோப்பு விளக்கங்களையும் runc மூடுகிறது. இருப்பினும், setcwd() இன் அடுத்தடுத்த செயலாக்கங்கள், வேலை செய்யும் கோப்பகத்தை சுட்டிக்காட்டும் ஒரு கோப்பு விளக்கத்தைத் திறந்து, கொள்கலன் தொடங்கப்பட்ட பிறகு அணுகக்கூடியதாக இருக்கும். மீதமுள்ள கோப்பு விளக்கத்தைப் பயன்படுத்தி ஹோஸ்ட் சூழலைத் தாக்க பல அடிப்படைக் காட்சிகள் முன்மொழியப்பட்டுள்ளன.

என்று குறிப்பிடப்பட்டுள்ளது பாதிப்பு சுரண்டலுக்கு ஒரு எடுத்துக்காட்டு ஒரு கொள்கலன் கட்டமைக்கப்பட்டிருந்தால்:

process.cwd ஐ /proc/self/fd/7/ என அமைக்க, அதன் விளைவாக வரும் pid1 செயல்முறையானது ஹோஸ்டின் மவுண்ட் நேம்ஸ்பேஸில் செயல்படும் கோப்பகத்தைக் கொண்டிருக்கும், எனவே ஸ்பான் செய்யப்பட்ட செயல்முறையானது முழு கணினியையும் அணுக முடியும் ஹோஸ்ட் கோப்புகள். இது மட்டும் ரன்க்கிற்கு எதிரான சுரண்டல் அல்ல. ஒரு தீங்கிழைக்கும் கண்டெய்னர் படத்தை இயக்கும் ஒரு பயனரைத் தாக்குபவர் ஏமாற்றலாம், இது ஒரு கொள்கலன் செயல்முறையை runc வழியாக ஹோஸ்ட் கோப்பு முறைமையை அடைய அனுமதிக்கிறது. இது ஹோஸ்ட் பைனரிகளை மேலெழுதுவதற்கு நீட்டிக்கப்படலாம், இதன் விளைவாக ஒரு முழுமையான கொள்கலன் தப்பிக்கும். 

இறுதியாக, அதைக் குறிப்பிட வேண்டும் ரன்க் பதிப்பு 1.1.12 இல் பாதிப்பு சரி செய்யப்பட்டது, எனவே புதிய பதிப்பிற்கு புதுப்பிக்க வேண்டும் என்பது பரிந்துரை. நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால், நீங்கள் விவரங்களைக் கலந்தாலோசிக்கலாம் பின்வரும் இணைப்பில்.


உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.