Container-Anwendungen sollen normalerweise keinen Zugriff auf das Hostsystem haben. Eine Sicherheitslücke ermöglicht es Eindringlingen derzeit allerdings aus priviligierten Containern auszubrechen um das komplette System / Host zu übernehmen.
Schadcode
Durch diese Sicherheitsanfälligkeit kann ein Angreifer aufgrund des Bugs in runc, der Container-Runtime von Docker, Kubernetes, containerd und weiteren Container-Systemen mittels eines schädlichen Containers die Host-Runc-Binärdatei überschreiben und so Schadcode auf Root-Ebene auf dem Host auszuführen. Da runc mit Root-Rechten läuft, hat der Angreifer sofort volle Kontrolle über das Hostsystem.
Zwar muss der Angreifer zuerst einen Container in das anzugreifende System einschleusen aber es sei trotzdem vor dieser Bedrohung gewarnt und eine eingehende Überprüfung ist angeraten.
Patch steht bereit
Die runc-Entwickler haben inzwischen einen Patch bereitgestellt. Docker Inc. hat die Version 18.09.2 von Docker veröffentlicht, die das Problem beseitigt. Anwender sollten ihre Container-Runtimes schnellstmöglich aktualisieren und diese zukünftig dann, wie üblicherweise empfohlen, mit beschränkten Rechten ausführen.