Docker Hacké ! Analyse de la faille CVE-2019-5736

Подписаться 201 тыс.

Просмотров 17 тыс.

50% 1

Analyse du fonctionnement et des contres mesures de la faille assez grave découverte dans runc (CVE-2019-5736) qui est utilisé entre autre dans #Docker et #kubernetes, et qui permet de prendre le contrôle totale d'une machine en lancant simplement un conteneur malicieux.
Explication originale des chercheurs:
blog.dragonsector.pl/2019/02/...
Commit correctif de runc: github.com/opencontainers/run...
Rejoindre le discord des cocadmins:
/ discord
ou
irc: freenode.net #cocadmins

Наука

Опубликовано:

17 фев 2019

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 27

@cocadmin 5 лет назад

Avez-vous déjà fait vos mises à jour ?

@paulempg3554 5 лет назад

J'utilise docker sur mon Laptop Fedora 29. docker --version : 18.09.2 qui semble être fixée

@cocadmin 5 лет назад

@@paulempg3554 Yes, Docker 18.09.2, contient le fix

@thibalito 5 лет назад

Après apt-update apt-upgrade sur un Lubuntu, 18.06.1-ce. :(

@cocadmin 5 лет назад

@@thibalito est-ce que t'as les repo de docker ? docs.docker.com/install/linux/docker-ce/ubuntu/#set-up-the-repository

@thibalito 5 лет назад

@@cocadmin Alors en effet, je n'ai pas le repo docker. C'est le package docker.io qui est proposé par défaut (et que j'ai donc installé à l'époque). Reste à attendre qu'unbuntu pousse la maj...

@buzhug35 3 года назад

Comme toujours une bonne vulgarisation et claire. Merci à vous!

@Jonathan-lw7tp 5 лет назад

Merci pour cette vidéo très intéressante comme toujours :)

@samuelbertin9381 4 года назад

Bonsoir merci de votre travail de votre partage merci :-)

@cocadmin 4 года назад

Salut Samuel ! Content que ça te plaise ;)

@AhmedBengag 3 года назад

Super la vidéo !

@workflowinmind 3 года назад

Super ta chaine mamen! Je ne savais pas que tu étais sur le tube!

@cocadmin 3 года назад

mamen! c'est qui ? :p

@bled_2033 5 лет назад

Tu fais vraiment des vidéos géniales! Quels site consultes tu généralement pour faire de la veille (techno, securité, cloud, devops)?

@cocadmin 5 лет назад

Principalement hacker news et reddit et toi ?

@bled_2033 5 лет назад

Pareil :D @@cocadmin

@ulrichvachon 5 лет назад

Excellent.

@TheMickadoo 5 лет назад

Super vidéo ! Merci Est il possible de savoir si AppArmor ou SeLinux est présent depuis un conteneur ?

@cocadmin 5 лет назад

C'est une tres bonne question je n'y ai jamais pensé. Je pense que de maniere indirecte tu peux détecter en testant si certaines actions seront restreintes ou non. Mais de maniere direct je ne sais pas, je vais me renseingné ;)

@TheMickadoo 5 лет назад

@@cocadmin Super, merci à toi !

@benjamincallar6339 5 лет назад

Merci beaucoup ! Du coup la prochaine c'est un petit tuto sur SELinux ? ;)

@thibalito 5 лет назад

Un tuto sur SELinux, je regarderai avec interêt. J'avoue que pour l'instant j'ai tendance à le desactiver sur mes serveurs persos, mais j'ai conscience que c'est plus par manque de maîtrise du produit qu'autre chose.

@cocadmin 5 лет назад

@@thibalito je fais pareil haha :D

@xataz5893 5 лет назад

Salut, merci pour les explications sur la "faille". Par contre je ne comprends pas l’intérêt de ne pas utiliser root dans ces propres conteneur pour évité cette faille. Car pour exploiter cette faille, il faut un conteneur malicieux, créer pour ceci. Car dans ce cas, il devient assez simple de hacker docker, en montant le / par exemple, et en faisant un chroot dessus, et la runc est modifiable. Biensur, si possible, il faut éviter d'utiliser root, ou alors utiliser les user namespace, qui devrait normalement, même si root, ne pas pouvoir modifier le binaire runc.

@cocadmin 5 лет назад

Yes, si tu monte le root effectivement tu as accès a tout. La faille est plus au niveau du fait que tu arrives a sortir du namespace dans lequel le conteneur est censé ne pas pouvoir sortir. Pour les user namespaces c'est une très bonne remarque! Je ne savais pas que ca existait et maintenant je me demande pour quel raison ce n'est pas ceux utilisés par défaut dans runc.