Leaky Vessels: múltiples vulnerabilidades en componentes de contenedores

Fecha de publicación 05/02/2024
Importancia
5 - Crítica
Recursos Afectados
  • runc, versiones 1.1.11 y anteriores.
  • BuildKit, versiones 0.12.4 y anteriores.
  • Moby (Docker Engine), versiones:
    • 25.0.1 y anteriores;
    • 24.0.8 y anteriores.
  • Docker Desktop, versiones 4.27.0 y anteriores.
Descripción

Rory McNamara, investigador de Snyk, junto con el equipo Snyk Security Labs, han reportado 4 vulnerabilidades que han recibido el apodo de Leaky Vessels. Estas 4 vulnerabilidades, 2 de severidad crítica y 2 altas, se han detectado en componentes centrales de la infraestructura de contenedores que podrían permitir escapes de contenedores. Un atacante podría utilizar estos escapes de contenedores para obtener acceso no autorizado al sistema operativo host subyacente desde el interior del contenedor.

Solución

Actualizar a las siguientes versiones:

  • runc 1.1.12 y superiores.
  • BuildKit 0.12.5 y superiores.
  • Moby (Docker Engine):
  • Docker Desktop 4.27.1 y superiores.
Detalle

Las vulnerabilidades detectadas se describen a continuación, siendo las 2 primeras de severidad alta y las 2 últimas críticas:

  • Vulnerabilidad derivada de un fallo de orden de operaciones con el comando WORKDIR en runc. Podría permitir a un atacante escapar del entorno aislado del contenedor, concediendo acceso no autorizado al sistema operativo anfitrión y comprometiendo potencialmente todo el sistema. Se ha asignado el identificador CVE-2024-21626 para esta vulnerabilidad.
  • Una condición de carrera dentro del manejo de la caché de montaje de Buildkit que conduce a un comportamiento impredecible, permitiendo potencialmente a un atacante manipular el proceso para obtener acceso no autorizado o interrumpir las operaciones normales del contenedor. Se ha asignado el identificador CVE-2024-23651 para esta vulnerabilidad.
  • Vulnerabilidad que podría permitir la eliminación arbitraria de archivos o directorios durante la fase de desmontaje del contenedor de Buildkit. Podría provocar una denegación de servicio, corrupción de datos o manipulación de datos no autorizada. Se ha asignado el identificador CVE-2024-23652 para esta vulnerabilidad.
  • Esta vulnerabilidad surge de comprobaciones de privilegios inadecuadas en la interfaz GRPC de Buildkit. Podría permitir a los atacantes ejecutar acciones más allá de sus permisos, lo que podría llevar a la escalada de privilegios o el acceso no autorizado a datos sensibles. Se ha asignado el identificador CVE-2024-23653 para esta vulnerabilidad.
Listado de referencias
Leaky Vessels: Docker and runc container breakout vulnerabilities (January 2024)
Docker Security Advisory: Multiple Vulnerabilities in runc, BuildKit, and Moby
Moby and Open Container Initiative Release Critical Updates for Multiple Vulnerabilities Affecting Docker-related Components
Etiquetas