RHSB-2024-001 Leaky Vessels - runc - (CVE-2024-21626)
エグゼクティブサマリー
Red Hat は、コンテナーインフラストラクチャーのコアコンポーネントである 'runc' の脆弱性を認識しています。この脆弱性はコンテナーエスケープを許すというものです。攻撃者がこのコンテナーエスケープを利用して、コンテナー内から基盤となるホストオペレーティングシステムに不正にアクセスする可能性があります。攻撃者がこの脆弱性を悪用する方法はいくつか考えられます。ユーザーに悪意のあるイメージを使用またはビルドさせたり、'runc exec' で実行できるコンテナー内で悪意のあるプロセスを使用したりする可能性があります。
この問題には CVE-2024-21626 が割り当てられています。問題の重大度は 重要な影響 と評価されています。
以下のバージョンの Red Hat 製品が直接影響を受けます。
Red Hat OpenShift Container Platform 4
Red Hat OpenShift Container Platform 3.11
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 8
Red Hat Enterprise Linux 9
さらに、Red Hat Enterprise Linux でサポートされている Red Hat 製品 (RHEL CoreOS を含む) も影響を受ける可能性があります。
これには、以下が含まれます。
RHEL または UBI コンテナーイメージをベースとする製品コンテナー。これらのイメージは定期的に更新されます。Red Hat Container Catalog の一部である Container Health Index で、この不具合の修正を利用できるどうかを示すコンテナーの健全性を確認できます。さらに、ベースイメージが更新されるとお客様のコンテナーが再ビルドされるはずです。
RHEL チャネルからパッケージをプルする製品。これには、Red Hat OpenShift Container Platform、Red Hat OpenStack Platform、Red Hat Virtualization などのレイヤード製品も含まれます。
これらの製品環境で、基盤となる RHEL の 'runc' パッケージが最新であることを確認してください。
さらに、moby buildkit で、関連する脆弱性 CVE-2024-23651、CVE-2024-23652、および CVE-2024-23653 が特定されており、現在 Red Hat Product Security が調査を進めています。
テクニカルサマリー
'runc' は、'Dockerfile' の 'WORKDIR' および 'RUN' ディレクティブを評価する際に、ファイル記述子リーク攻撃とその後のパストラバーサル攻撃を受けやすくなります。このような指定パスの制御の脆弱性を突くことで、コンテナーをホストシステム上の他のディレクトリーにバインドし、ホストシステム上の他のリソースにアクセスすることが可能です。
軽減策
Red Hat Enterprise Linux (RHEL) と OpenShift には、特定の enforcing モードの SELinux が搭載されています。これにより、コンテナープロセスからホストコンテンツへのアクセスが防止され、この攻撃が軽減されます。Dockerfile の 'RUN' および 'WORKDIR' ディレクティブを調べると、侵害の痕跡を示すエスケープや悪意のあるパスがないことを確認できます。アクセスを制限し、信頼できるコンテナーイメージのみを使用することで、不正アクセスや悪意のある攻撃を防ぐことができます。
技術情報
この脆弱性は、'runc' が Dockerfile 内の 'WORKDIR' ディレクティブを処理する方法に起因するものです。'build' または 'RUN' 操作中に作成されるプロセスの初期作業ディレクトリーを指定する際に、'runc' は一部の特権ホストディレクトリーファイル記述子を閉じる前に、'rchdir' を使用してディレクトリーを変更します。この不具合を利用して、攻撃者が 'WORKDIR' ディレクティブを操作し、'/proc/self/fd/' ディレクトリーを介して特権ファイル記述子を指定する可能性があります。その結果、通常の操作中に 'runc' がファイル記述子を閉じた後でも、ファイル記述子にアクセスできる状態が維持され、機密性の高いホストファイルへの不正アクセスや、ホストファイルシステム内への任意ファイルの作成が容易になります。このような不具合がある 'WORKDIR' の処理方法は、重大なセキュリティーリスクをもたらし、コンテナーのブレイクアウトやホストオペレーティングシステムの侵害を許します。
影響を受ける製品の更新
影響を受けるバージョンの Red Hat 製品をご使用のお客様は、エラータが入手可能になり次第、該当製品を更新することが強く推奨されます。お客様には、利用可能な更新を早急に適用し、必要に応じて軽減策を有効にすることを推奨します。
製品 | コンポーネント | アドバイザリー/更新[1] |
Red Hat Enterprise Linux 7 | runc | 未定 |
Red Hat Enterprise Linux 8 | container-tools:4.0/runc | 未定 |
container-tools:rhel8/runc | 未定 | |
Red Hat Enterprise Linux 9 | runc | RHSA-2024:0670 |
Red Hat OpenShift Container Platform 4 | runc | 未定 |
Red Hat OpenShift Container Platform 3.11 | runc | 未定 |
[1] 更新が公開され次第、アドバイザリー/更新のリンクを追加する予定です。
参考資料
https://thehackernews.com/2024/02/runc-flaws-enable-container-escapes.html
https://aws.amazon.com/security/security-bulletins/AWS-2024-001/
https://cloud.google.com/anthos/clusters/docs/security-bulletins#gcp-2024-005-gke
https://snyk.io/blog/leaky-vessels-docker-runc-container-breakout-vulnerabilities/
Comments