Connexion

Connexion à votre compte

Identifiant
Mot de passe
Maintenir la connexion active sur ce site

Tous vos containers sont en danger…

Écrit par  Laurent Delattre , mercredi, 13 février 2019 08:13 , SÉCURITÉ.
Tous vos containers sont en danger…

Une grosse faille de sécurité découverte par deux chercheurs au cœur du runtime des containers rend toutes les infrastructures Docker, Kubernetes, Mesos et autres vulnérables à des attaques de bas niveau.

Vos infrastructures de containers sont en danger! Une nouvelle faille de sécurité située dans le runtime d’exécution des containers, la fondamentale librairie runC, permet d’aisément attaquer la machine hôte à travers un container malveillant ou infecté. Rappelons que dans une infrastructure classique, tous les containers d’une machine physique partagent un même kernel Linux (ou un même kernel Windows Server dans le cas des containers Windows). C'est d'ailleurs pourquoi certains préfèrent embarquer chaque conteneur dans des micro-machines virtuelles hébergeant leur propre micro-OS, comme c'est le cas avec l'approche VMware Integrated Containers ou les Hyper-V Containers.

C’est le moteur d’exécution de ce Linux partagé par tous les containers d'une machine qui est ici ciblé au travers de la faille CVE-2019-5736 découverte par Adam Iwaniuk et Borys Popławski. Une fois le fichier runC modifié par une attaque exploitant cette faille, toute la machine physique et potentiellement tous les containers qu’elle héberge sont à la merci des attaquants.

Voilà une faille majeure et critique (d’un score CVSSv3 de 7,2) qui doit impérativement être comblée rapidement par les administrateurs. Le patch est d’ores et déjà disponible. Mais la divulgation d’un code source d’exploitation dans 7 jours promet une semaine infernale à tous les grands clouds de la planète. Car cette librairie runC intimement liée au kernel Linux rend en effet vulnérable toutes les infrastructures de containers qu’elles s’appuient sur LXC, Docker, MESOS, containerd, ou encore Kubernetes. Et il n’existe pas vraiment d’autres solutions que le patching des Linux Hosts pour se protéger de cette faille.

La bonne nouvelle, c’est qu’une fois qu’une machine physique a été patchée, les conteneurs peuvent aisément y être déplacés (c’est leur nature même) et ne plus présenter de risques. Ce qui peut simplifier les opérations de patching des serveurs.

 

 

Dernière modification le mercredi, 13 février 2019 09:23
Connectez-vous pour commenter

ABONNEMENT NEWSLETTER

NOUS SUIVRE

AGENDA

20/03/2019 - 24/03/2019
Laval Virtual
26/03/2019 - 28/03/2019
Semaine de l'innovation Transport & Logistique (SITL)
27/03/2019 - 27/03/2019
Gala des DSI
09/04/2019 - 09/04/2019
Journée française des tests logiciels (JFTL)