CVE-2019-5736

Impact:
Important
Public Date:
2019-02-11
CWE:
CWE-672
Bugzilla:
1664908: CVE-2019-5736 runc: 悪意のあるコンテナーの実行で、コンテナーエスケープとホストのファイルシステムへのアクセスが可能になる
コンテナーの実行時に runc がシステムファイル記述子を処理する方法で脆弱性が発見されました。悪意のあるコンテナーはこの脆弱性を利用して runc バイナリのコンテンツを書き換え、コンテナーのホストシステム上で任意のコマンドを実行できる恐れがあります。

Find out more about CVE-2019-5736 from the MITRE CVE dictionary dictionary and NIST NVD.

Statement

Red Hat Enterprise Linux 7 Extras に同梱されている 'docker' パッケージは、バイナリ 1.12 から 'runc' をバンドルしています。今回の問題で 'docker' と 'runc' の両方のパッケージが影響を受けます。

'docker-latest' パッケージは、Red Hat Enterprise Linux 7.5 から非推奨になっています。このパッケージをお使いの場合は、Red Hat Enterprise Linux 7 Extras に同梱の最新版 'docker' パッケージに更新してください。

OpenShift Container Platform (OCP) バージョン 3.9 およびそれ以降はデフォルト設定で 'docker' バージョン 1.13 を使用していますが、代わりに CRI-O を使用する設定にすることもできます。これは 'runc' パッケージに依存するものです。OCP バージョン 3.9 およびそれ以降では、Red Hat Enterprise Linux 7 Extras に同梱の更新済み 'docker' と 'runc' のパッケージを使用してください。

OCP バージョン 3.4 から 3.7 は元々、Red Hat Enterprise Linux 7 Extras チャネルからの 'docker' バージョン 1.12 を使用していました。更新バージョンの 'docker' 1.12 は OCP バージョン 3.4 から 3.7 向けに RPM チャネルで提供されています。

OCP バージョン 3.9 はこれまでは RPM リポジトリーで 'runc' のバージョンを提供していました。CRI-O を使用した OCP 3.9 クラスターは Red Hat Enterprise Linux 7 Extras チャネルから 'runc' を更新してください。

Red Hat Enterprise Linux Atomic Host 7 の場合は、ターゲットとなる runc バイナリは読み取り専用で書き込みができないため、今回の脆弱性による影響はありません。

CVSS v3 metrics

CVSS3 Base Score 7.7
CVSS3 Base Metrics CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Attack Vector Local
Attack Complexity High
Privileges Required None
User Interaction Required
Scope Changed
Confidentiality High
Integrity Impact High
Availability Impact High

Red Hat Security Errata

Platform Errata Release Date
Red Hat Enterprise Linux 7 Extras (runc) RHSA-2019:0303 2019-02-11
Red Hat OpenShift Container Platform 3.7 (docker) RHSA-2019:0408 2019-02-26
Red Hat Enterprise Linux 7 Extras (docker) RHSA-2019:0304 2019-02-11
Red Hat OpenShift Container Platform 3.5 (docker) RHSA-2019:0408 2019-02-26
Red Hat OpenShift Container Platform 3.4 (docker) RHSA-2019:0408 2019-02-26
Red Hat OpenShift Container Platform 3.6 (docker) RHSA-2019:0408 2019-02-26
その他 RHSA-2019:0401 2019-02-25

Affected Packages State

Platform Package State
Red Hat OpenShift Container Platform 3.9 runc フィックスの予定なし
Red Hat Enterprise Linux 7 docker-latest フィックスの予定なし

Acknowledgements

Red Hat は Open Containers Security Team がこの問題を報告してくださったことに感謝の意を表します。また、この脆弱性の最初の報告者である Adam Iwaniuk および Borys Popławski 両氏に対してもアップストリームから感謝の意を表します。

Mitigation

SELinux が Enforcing モードである場合、この脆弱性は Red Hat Enterprise Linux 7 で軽減されます。OpenShift Container Platform 3.x では SELinux を Enforcing モードで実行することが前提条件となります。

External References

Last Modified