CVE-2019-5736

Impact:
Important
Public Date:
2019-02-11
CWE:
CWE-672
Bugzilla:
1664908: CVE-2019-5736 runc: 悪意のあるコンテナーの実行で、コンテナーエスケープとホストのファイルシステムへのアクセスが可能になる
コンテナーの実行時に runc がシステムファイル記述子を処理する方法で脆弱性が発見されました。悪意のあるコンテナーはこの脆弱性を利用して runc バイナリのコンテンツを書き換え、コンテナーのホストシステム上で任意のコマンドを実行できる恐れがあります。

Find out more about CVE-2019-5736 from the MITRE CVE dictionary dictionary and NIST NVD.

Statement

Red Hat Enterprise Linux 7 Extras に同梱されている 'docker' パッケージは、バイナリ 1.12 から 'runc' をバンドルしています。今回の問題で 'docker' と 'runc' の両方のパッケージが影響を受けます。

'docker-latest' パッケージは、Red Hat Enterprise Linux 7.5 から非推奨になっています。このパッケージをお使いの場合は、Red Hat Enterprise Linux 7 Extras に同梱の最新版 'docker' パッケージに更新してください。

OpenShift Container Platform (OCP) バージョン 3.9 およびそれ以降はデフォルト設定で 'docker' バージョン 1.13 を使用していますが、代わりに CRI-O を使用する設定にすることもできます。これは 'runc' パッケージに依存するものです。OCP バージョン 3.9 およびそれ以降では、Red Hat Enterprise Linux 7 Extras に同梱の更新済み 'docker' と 'runc' のパッケージを使用してください。

OCP バージョン 3.4 から 3.7 は元々、Red Hat Enterprise Linux 7 Extras チャネルからの 'docker' バージョン 1.12 を使用していました。更新バージョンの 'docker' 1.12 は OCP バージョン 3.4 から 3.7 向けに RPM チャネルで提供されています。

OCP バージョン 3.9 はこれまでは RPM リポジトリーで 'runc' のバージョンを提供していました。CRI-O を使用した OCP 3.9 クラスターは Red Hat Enterprise Linux 7 Extras チャネルから 'runc' を更新してください。

Red Hat Enterprise Linux Atomic Host 7 の場合は、ターゲットとなる runc バイナリは読み取り専用で書き込みができないため、今回の脆弱性による影響はありません。

CVSS v3 評価基準

CVSS3 基本値 7.7
CVSS3 基本評価基準 CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
攻撃元区分 Local
攻撃条件の複雑さ High
必要な特権レベル None
ユーザ関与レベル Required
スコープ Changed
機密性 High
完全性への影響 High
可用性への影響 High

Red Hat Security Errata

Platform Errata Release Date
Red Hat Enterprise Linux 7 Extras (runc) RHSA-2019:0303 2019-02-11
Red Hat OpenShift Container Platform 3.7 (docker) RHSA-2019:0408 2019-02-26
Red Hat Enterprise Linux 7 Extras (docker) RHSA-2019:0304 2019-02-11
Red Hat OpenShift Container Platform 3.5 (docker) RHSA-2019:0408 2019-02-26
Red Hat OpenShift Container Platform 3.4 (docker) RHSA-2019:0408 2019-02-26
Red Hat OpenShift Container Platform 3.6 (docker) RHSA-2019:0408 2019-02-26
その他 RHSA-2019:0401 2019-02-25
Unless explicitly stated as not affected, all previous versions of packages in any minor update stream of a product listed here should be assumed vulnerable, although may not have been subject to full analysis.

Acknowledgements

Red Hat は Open Containers Security Team がこの問題を報告してくださったことに感謝の意を表します。また、この脆弱性の最初の報告者である Adam Iwaniuk および Borys Popławski 両氏に対してもアップストリームから感謝の意を表します。

軽減策

SELinux が Enforcing モードである場合、この脆弱性は Red Hat Enterprise Linux 7 で軽減されます。OpenShift Container Platform 3.x では SELinux を Enforcing モードで実行することが前提条件となります。

参考情報 (外部リンク)

Last Modified