Vulnérabilité dans l'éxecutable de conteneurs containerd (Docker et Kubernetes)
Date de publication :
CVE-2020-15257[Score CVSS : 5.2] : Une vulnérabilité critique a été découverte dans containerd au niveau du module container-shim. Les contrôles d'accès pour la socket API de la librairie container-shim permettent de vérifier qu'un processus de connexion a un UID effectif de 0, mais ne restreint pas l'accès à la socket du domaine Unix abstrait. Un attaquant local et identifié peut potentiellement exploiter cette vulnérabilité en exécutant des conteneurs malveillants dans un réseau avec le même “namespace” que le celui généré par la socket API de la librairie container-shim avec un UID effectif de 0, avec des privilèges normalement réduits, d'exécuter de nouveaux processus avec des privilèges élevés. L’attaquant serait alors en mesure d’injecter du code arbitraire et d’effectuer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Élévation de privilèges
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS : 5.2
Existence d’un code d’exploitation
- Il n'existe pas de code d'exploitation connu publiquement à ce jour
Composants vulnérables
- Les versions de containerd antérieurs aux versions 1.3.9 et 1.4.3 sont vulnérables.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour containerd vers les versions 1.3.9 et 1.4.3 ou supérieures.
Après avoir effectué la mise à jour, tous les conteneurs précédemment lancés avec une version de containerd vulnérable doivent être redémarrés.
Solution de contournement
Plusieurs solutions de contournements sont disponibles dans l’onglet “Workarounds dans le lien de références de bulletin.
Après avoir mis une solution de contournement en place, tous les conteneurs précedemment lancés avec une version de containerd vulnérable doivent être redémarrés.