RunC dagi zaiflik Docker xostlarida root imtiyozlari bilan kodni bajarishga imkon beradi.
Muammo RunC dan foydalanadigan barcha konteyner izolyatsiya tizimlariga, jumladan, Docker, containerd, Podman va CRI-O ga ta’sir qiladi.
RunC vositasida izolyatsiya qilingan konteynerlarni ishga tushirish uchun muhim zaiflik (CVE-2019-5736) aniqlandi. Ushbu zaiflik tajovuzkorga zararli konteynerdan RunC bajariladigan faylini o’zgartirish va xost tizimida superuser imtiyozlarini olish imkonini beradi. Muammo RunC dan foydalanadigan barcha konteyner izolyatsiya tizimlariga, jumladan, Docker, containerd, Podman va CRI-O ga ta’sir qiladi. Shunga o’xshash zaiflik LXC va Apache Mesos da ham xabar qilingan. Hujumni amalga oshirish uchun superuser imtiyozlariga ega foydalanuvchi tajovuzkor tomonidan boshqariladigan tasvir asosida yangi konteyner yaratishi yoki tajovuzkor ilgari yozish huquqiga ega bo’lgan mavjud konteynerga ulanishi kerak (docker exec yetarli).
Muammo standart AppArmor siyosati va Fedora’dagi SELinux qoidalari tomonidan bloklanmagan (chunki konteyner jarayonlari container_runtime_t kontekstida ishlaydi). Biroq, zaiflik foydalanuvchi nomlari to’g’ri ishlatilganda o’zini namoyon qilmaydi.
RunC dasturini ishlab chiquvchi Alexa Sarai zaiflikni tuzatuvchi yamoqni nashr etdi. Muammo allaqachon RHEL, Fedora va Ubuntu uchun hal qilingan, ammo Debian va SUSE uchun dolzarbligicha qolmoqda. Ushbu zaiflik uchun kontseptsiyani isbotlash kodini nashr etish shu yilning 18-fevraliga rejalashtirilgan.
