Lançamento do 1.6.1 Docker com várias correções de segurança

Standard

Após diversas notificações de vulnerabilidades urgentes, a equipe de segurança do Docker resolveu lançar rapidamente uma nova versão com soluções para os casos reportados.

google-container-logo-370x290Segue abaixo as falhas encontradas, que já foram resolvidas na versão 1.6.1:

[CVE-2015-3629] Symlink traversal on container respawn allows local privilege escalation

O libcontainer da versão 1.6.0 introduziu mudanças que facilitaram a fuga da montagem do namespace no respawn do container. Isso permite que imagens maliciosas possam escrever arquivos no sistema host, ou seja, que escape do container.

Descoberto por Tõnis Tiigi.

[CVE-2015-3627] Insecure opening of file-descriptor 1 leading to privilege escalation

O file descriptor passado pelo libcontainer para o processo com PID 1 do container foi encontrado com possibilidade de ser aberto antes de ser executado o chroot, sendo assim permitindo abertura insegura de symlink traversal. Isso permite que containers maliciosos possam escalar o privilégio localmente.

Descoberto por Tõnis Tiigi.

[CVE-2015-3630] Read/write proc paths allow host modification & information disclosure

Muitos caminhos abaixo de /proc estavam com permissão de escrita para o container, permitindo a manipulação de configurações globais do sistema. Esses caminhos incluíam /proc/asound, /proc/timer_stats, /proc/latency_stats, e /proc/fs.

Ao permite escrita no /proc/fs, verificou-se que volumes CIFS podem ser forçados a um “protocol downgrade attack” por um usuário root no sistema operacional dentro do container.

Descoberto por Eric Windisch do time de segurança do Docker

[CVE-2015-3631] Volume mounts allow LSM profile escalation

Ao permitir que volumes possam sobrescrever arquivos do /proc dentro de um namespace, um usuário pode específicar arbitrariamente politicas para o módulo de segurança do Linux, incluindo setar uma política de não-confinada sob o AppArmonr ou uma política “docker_t” que seria gerenciada pelo SELinux.

Descoberto por Eric Windisch do time de segurança do Docker

Todas as falhas foram corrigidas no Docker 1.6.1! Usuários que utilizam imagens inseguras estão encorajados a atualizar o seu docker urgentemente.

Atualizando seu Docker no Debian

É muito simples, basta executar os comandos abaixo:


# wget http://ftp.br.debian.org/debian/pool/main/d/docker.io/docker.io_1.6.1+dfsg1-1_amd64.deb
# dpkg -i docker.io_1.6.1+dfsg1-1_amd64.deb
# rm docker.io_1.6.1+dfsg1-1_amd64.deb