Docker 等で使用する runc の権限昇格に関する脆弱性 (CVE-2019-5736) について
最終更新: 2019-02-12
2019年2月12日 (現地時間) に Docker コンテナ 等で使用する runc に関する脆弱性 (CVE-2019-5736) が公開されました。本脆弱性を悪用して細工したコンテナをユーザが実行した場合、ホスト上の runc バイナリが意図せず上書きされます。結果として、コンテナが起動しているホスト上で root 権限でコマンドが実行できるようになります。
なお、本脆弱性の実証コードは 2019年2月12日現在公開されていませんが、報告者によると実証コードは 2019年2月18日 (現地時間) に公開予定とのことです。
本脆弱性を悪用するコンテナは次のようなケースが想定されています。
1) 攻撃者により改変されたイメージファイルを用いて作成されたコンテナ
2) 攻撃者が書き込み権限を取得している既存のコンテナ
本脆弱性は 2019年2月12日時点で runc のすべてのバージョンが対象となっています。
開発者からは本脆弱性の影響を回避する修正パッチが提示されています。
該当するユーザは修正パッチの適用を検討してください。
報告者によると本脆弱性は Docker 以外のソフトウエアでも該当する恐れがあるとのことです。
Github
https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b
また、Redhat 等の各ディストリビュータから提供される Docker を使用している場合は、各ディストリビュータからの情報に注意して対応を検討してください。
クラウドサービス事業者が提供するマシンイメージ上で Docker を利用している場合は、各クラウドサービス事業者からの情報にも注意して対応を検討してください。
Openwall
CVE-2019-5736: runc container breakout (all versions)
https://www.openwall.com/lists/oss-security/2019/02/11/2
Redhat
runc - Malicious container escape - CVE-2019-5736
https://access.redhat.com/security/vulnerabilities/runcescape
AWS
Container Security Issue (CVE-2019-5736)
https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-002/
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp
Topへ