Alert GCSA-24018 - Vulnerabilita' nel tool runC per piattaforme di virtualizzazione (Docker, Kubernetes)
******************************************************************
Alert ID: GCSA-24018
data: 07 febbraio 2024
titolo: Vulnerabilita' nel tool runC per piattaforme di virtualizzazione (Docker, Kubernetes)
******************************************************************
:: Descrizione del problema
E' stata identificata una vulnerabilita' critica nello strumento runC
CVE-2024-21626 (CVSS score: 8.6) - runC process.cwd and leaked fds container breakout
Tale difetto potrebbe essere sfruttato da aggressori per evadere dal container
ed ottenere un accesso non autorizzato al sistema operativo host.
runC e' un tool per generare ed eseguire container su Linux.
E' stato originariamente sviluppato come parte di Docker e successivamente
trasformato in una libreria open source separata nel 2015.
Questa vulnerabilita' colpisce le componenti base dei container engine e dei container build tools,
e' quindi vivamente consigliato di verificare la disponibilita' di aggiornamenti
per quasiasi container runtime environment, inclusi Docker, Kubernetes e cloud container services.
Docker, in un advisory indipendente, afferma che le vulnerabilita' possono essere sfruttate
solo se un utente interagisce attivamente con contenuti dannosi incorporandoli
nel processo di creazione o eseguendo un contenitore da un'immagine rogue.
Anche Amazon Web Services (AWS), Google Cloud e Ubuntu hanno rilasciato propri avvisi,
esortando i clienti a intraprendere le azioni appropriate se e dove necessario.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
runc versioni precedenti alla 1.1.11
Docker Desktop versioni precedenti alla 4.27.0
Buildkit versioni precedenti alla 0.12.5
:: Impatto
Unauthorised Access
:: Soluzioni
Aggiornare alla versione 1.1.12 di runC
https://github.com/opencontainers/runc/releases/tag/v1.1.12
:: Riferimenti
The Hacker News
https://thehackernews.com/2024/02/runc-flaws-enable-container-escapes.html
Bleeping Computer News
https://www.bleepingcomputer.com/news/security/leaky-vessels-flaws-allow-hackers-to-escape-docker-runc-containers/
Snyk Blog
https://snyk.io/blog/leaky-vessels-docker-runc-container-breakout-vulnerabilities/
Open Container Initiative - Security Advisories
https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv
Docker Security Advisory
https://www.docker.com/blog/docker-security-advisory-multiple-vulnerabilities-in-runc-buildkit-and-moby/
Amazon Web Services (AWS) - Security bulletins AWS-2024-001
https://aws.amazon.com/it/security/security-bulletins/AWS-2024-001/
Google Cloud - bulletin GCP-2024-005
https://cloud.google.com/support/bulletins?hl=it#gcp-2024-005
Debian - security announce
http://www.debian.org/security/2024/dsa-5615
https://lists.debian.org/debian-security-announce/2024/msg00022.html
Ubuntu - Security Notice USN-6619-1
https://ubuntu.com/security/notices/USN-6619-1
SUSE Linux
https://www.suse.com/support/update/announcement/2024/suse-su-20240294-1
https://www.suse.com/support/update/announcement/2024/suse-su-20240295-1
https://www.suse.com/support/update/announcement/2024/suse-su-20240328-1
Fedora 39 Update
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SYMO3BANINS6RGFQFKPRG4FIOJ7GWYTL/
Red Hat - Security Advisory
https://access.redhat.com/errata/RHSA-2024:0670
Oracle Linux
https://linux.oracle.com/errata/ELSA-2024-0670.html
CERT-EU - Security Advisory 2024-016
https://cert.europa.eu/publications/security-advisories/2024-016/
Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21626
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23651
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23652
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23653
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZcNsxQ0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCQFcAoJdZVGf3Wfpt1Uf+lEAPDWeZfSoGAJ0V1z+63zSM
02okIpz3sseshJaBsg==
=bjDz
-----END PGP SIGNATURE-----
Alert ID: GCSA-24018
data: 07 febbraio 2024
titolo: Vulnerabilita' nel tool runC per piattaforme di virtualizzazione (Docker, Kubernetes)
******************************************************************
:: Descrizione del problema
E' stata identificata una vulnerabilita' critica nello strumento runC
CVE-2024-21626 (CVSS score: 8.6) - runC process.cwd and leaked fds container breakout
Tale difetto potrebbe essere sfruttato da aggressori per evadere dal container
ed ottenere un accesso non autorizzato al sistema operativo host.
runC e' un tool per generare ed eseguire container su Linux.
E' stato originariamente sviluppato come parte di Docker e successivamente
trasformato in una libreria open source separata nel 2015.
Questa vulnerabilita' colpisce le componenti base dei container engine e dei container build tools,
e' quindi vivamente consigliato di verificare la disponibilita' di aggiornamenti
per quasiasi container runtime environment, inclusi Docker, Kubernetes e cloud container services.
Docker, in un advisory indipendente, afferma che le vulnerabilita' possono essere sfruttate
solo se un utente interagisce attivamente con contenuti dannosi incorporandoli
nel processo di creazione o eseguendo un contenitore da un'immagine rogue.
Anche Amazon Web Services (AWS), Google Cloud e Ubuntu hanno rilasciato propri avvisi,
esortando i clienti a intraprendere le azioni appropriate se e dove necessario.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
runc versioni precedenti alla 1.1.11
Docker Desktop versioni precedenti alla 4.27.0
Buildkit versioni precedenti alla 0.12.5
:: Impatto
Unauthorised Access
:: Soluzioni
Aggiornare alla versione 1.1.12 di runC
https://github.com/opencontainers/runc/releases/tag/v1.1.12
:: Riferimenti
The Hacker News
https://thehackernews.com/2024/02/runc-flaws-enable-container-escapes.html
Bleeping Computer News
https://www.bleepingcomputer.com/news/security/leaky-vessels-flaws-allow-hackers-to-escape-docker-runc-containers/
Snyk Blog
https://snyk.io/blog/leaky-vessels-docker-runc-container-breakout-vulnerabilities/
Open Container Initiative - Security Advisories
https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv
Docker Security Advisory
https://www.docker.com/blog/docker-security-advisory-multiple-vulnerabilities-in-runc-buildkit-and-moby/
Amazon Web Services (AWS) - Security bulletins AWS-2024-001
https://aws.amazon.com/it/security/security-bulletins/AWS-2024-001/
Google Cloud - bulletin GCP-2024-005
https://cloud.google.com/support/bulletins?hl=it#gcp-2024-005
Debian - security announce
http://www.debian.org/security/2024/dsa-5615
https://lists.debian.org/debian-security-announce/2024/msg00022.html
Ubuntu - Security Notice USN-6619-1
https://ubuntu.com/security/notices/USN-6619-1
SUSE Linux
https://www.suse.com/support/update/announcement/2024/suse-su-20240294-1
https://www.suse.com/support/update/announcement/2024/suse-su-20240295-1
https://www.suse.com/support/update/announcement/2024/suse-su-20240328-1
Fedora 39 Update
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SYMO3BANINS6RGFQFKPRG4FIOJ7GWYTL/
Red Hat - Security Advisory
https://access.redhat.com/errata/RHSA-2024:0670
Oracle Linux
https://linux.oracle.com/errata/ELSA-2024-0670.html
CERT-EU - Security Advisory 2024-016
https://cert.europa.eu/publications/security-advisories/2024-016/
Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21626
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23651
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23652
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23653
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZcNsxQ0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCQFcAoJdZVGf3Wfpt1Uf+lEAPDWeZfSoGAJ0V1z+63zSM
02okIpz3sseshJaBsg==
=bjDz
-----END PGP SIGNATURE-----