Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 23 (29.04.21):
Für Oracle Linux 7 steht ein Sicherheitsupdate für ‘runc’ bereit.
Version 22 (08.10.19):
Für openSUSE Backports SLE 15 SP1 steht ein Sicherheitsupdate für ‘lxc’
auf Version 3.2.1 bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 21 (04.10.19):
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für ‘lxc’ auf Version
3.2.1 bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 20 (30.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates für Linux Containers (LXC)
auf Version 3.0.4 im Status ‘testing’ bereit, um die Schwachstelle
CVE-2019-5736 und weitere nicht sicherheitsrelevante Fehler zu beheben.
Version 19 (05.08.19):
Oracle veröffentlicht für Oracle Linux 8 (aarch64, x86_64)
Sicherheitsupdates für ‘container-tools:rhel8’, um die Schwachstelle
CVE-2019-5736 und nicht sicherheitsrelevante Fehler zu beheben.
Version 18 (07.05.19):
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für das
‘container-tools:rhel8 module’ bereit. Die Updates stehen unter anderem
für Red Hat Enterprise Linux for ARM 64 8 und Red Hat Enterprise Linux for
x86_64 8 zur Verfügung.
Version 17 (26.04.19):
openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0
Sicherheitsupdates für ‘lxc’ und ‘lxcfs’ auf die Version 3.1.0 und behebt
damit neben der Schwachstelle CVE-2019-5736 auch die Schwachstelle
CVE-2018-6556. Die letztgenannte Schwachstelle ermöglicht einem lokalen,
nicht authentisierten Angreifer das Ausspähen von Informationen,
Durchführen von Denial-of-Service- und eventuell weiteren, nicht näher
spezifizierten Angriffen.
Version 16 (18.04.19):
Für openSUSE Backports SLE 15 stehen Sicherheitsupdates für ‘lxc’ und
‘lxcfs’ auf die Version 3.1.0 zur Verfügung. Mit diesen Sicherheitsupdates
wird zusätzlich zur Schwachstelle CVE-2019-5736 die Schwachstelle
CVE-2018-6556 behoben, die ein lokaler, nicht authentisierter Angreifer
für das Ausspähen von Informationen, Durchführen von Denial-of-Service-
und eventuell weiteren, nicht näher spezifizierten Angriffen ausnutzen
kann.
Version 15 (01.04.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 14 (11.03.19):
Für SUSE OpenStack Cloud 6 LTSS und SUSE Linux Enterprise Module for
Containers 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in
‘runc’ bereit. Die Updates erfordern eine aktualisierte Version von Go,
wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und
CVE-2018-16875) behoben werden. Ferner wird die Schwachstelle
CVE-2016-9962 in Docker gelistet, welche einem entfernten, einfach
authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren.
Version 13 (07.03.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein Angreifer kann eine Schwachstelle in runc lokal ausnutzen, um beliebige
Kommandos mit den Rechten von ‘root’ auf dem Host-Dateisystem auszuführen.
Der Angreifer muss dazu einen Benutzer mit ‘root’-Rechten zur Erstellung
eines neuen Containers aus einem speziell präparierten Container-Image oder
zur Ausführung eines Befehls in einem speziell präparierten Container über
‘docker exec’ verleiten. Die Schwachstelle ist unter dem Namen ‘RUNCESCAPE’
bekannt. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten
haben.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 22 (08.10.19):
Für openSUSE Backports SLE 15 SP1 steht ein Sicherheitsupdate für ‘lxc’
auf Version 3.2.1 bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 21 (04.10.19):
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für ‘lxc’ auf Version
3.2.1 bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 20 (30.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates für Linux Containers (LXC)
auf Version 3.0.4 im Status ‘testing’ bereit, um die Schwachstelle
CVE-2019-5736 und weitere nicht sicherheitsrelevante Fehler zu beheben.
Version 19 (05.08.19):
Oracle veröffentlicht für Oracle Linux 8 (aarch64, x86_64)
Sicherheitsupdates für ‘container-tools:rhel8’, um die Schwachstelle
CVE-2019-5736 und nicht sicherheitsrelevante Fehler zu beheben.
Version 18 (07.05.19):
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für das
‘container-tools:rhel8 module’ bereit. Die Updates stehen unter anderem
für Red Hat Enterprise Linux for ARM 64 8 und Red Hat Enterprise Linux for
x86_64 8 zur Verfügung.
Version 17 (26.04.19):
openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0
Sicherheitsupdates für ‘lxc’ und ‘lxcfs’ auf die Version 3.1.0 und behebt
damit neben der Schwachstelle CVE-2019-5736 auch die Schwachstelle
CVE-2018-6556. Die letztgenannte Schwachstelle ermöglicht einem lokalen,
nicht authentisierten Angreifer das Ausspähen von Informationen,
Durchführen von Denial-of-Service- und eventuell weiteren, nicht näher
spezifizierten Angriffen.
Version 16 (18.04.19):
Für openSUSE Backports SLE 15 stehen Sicherheitsupdates für ‘lxc’ und
‘lxcfs’ auf die Version 3.1.0 zur Verfügung. Mit diesen Sicherheitsupdates
wird zusätzlich zur Schwachstelle CVE-2019-5736 die Schwachstelle
CVE-2018-6556 behoben, die ein lokaler, nicht authentisierter Angreifer
für das Ausspähen von Informationen, Durchführen von Denial-of-Service-
und eventuell weiteren, nicht näher spezifizierten Angriffen ausnutzen
kann.
Version 15 (01.04.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 14 (11.03.19):
Für SUSE OpenStack Cloud 6 LTSS und SUSE Linux Enterprise Module for
Containers 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in
‘runc’ bereit. Die Updates erfordern eine aktualisierte Version von Go,
wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und
CVE-2018-16875) behoben werden. Ferner wird die Schwachstelle
CVE-2016-9962 in Docker gelistet, welche einem entfernten, einfach
authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren.
Version 13 (07.03.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 21 (04.10.19):
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für ‘lxc’ auf Version
3.2.1 bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 20 (30.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates für Linux Containers (LXC)
auf Version 3.0.4 im Status ‘testing’ bereit, um die Schwachstelle
CVE-2019-5736 und weitere nicht sicherheitsrelevante Fehler zu beheben.
Version 19 (05.08.19):
Oracle veröffentlicht für Oracle Linux 8 (aarch64, x86_64)
Sicherheitsupdates für ‘container-tools:rhel8’, um die Schwachstelle
CVE-2019-5736 und nicht sicherheitsrelevante Fehler zu beheben.
Version 18 (07.05.19):
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für das
‘container-tools:rhel8 module’ bereit. Die Updates stehen unter anderem
für Red Hat Enterprise Linux for ARM 64 8 und Red Hat Enterprise Linux for
x86_64 8 zur Verfügung.
Version 17 (26.04.19):
openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0
Sicherheitsupdates für ‘lxc’ und ‘lxcfs’ auf die Version 3.1.0 und behebt
damit neben der Schwachstelle CVE-2019-5736 auch die Schwachstelle
CVE-2018-6556. Die letztgenannte Schwachstelle ermöglicht einem lokalen,
nicht authentisierten Angreifer das Ausspähen von Informationen,
Durchführen von Denial-of-Service- und eventuell weiteren, nicht näher
spezifizierten Angriffen.
Version 16 (18.04.19):
Für openSUSE Backports SLE 15 stehen Sicherheitsupdates für ‘lxc’ und
‘lxcfs’ auf die Version 3.1.0 zur Verfügung. Mit diesen Sicherheitsupdates
wird zusätzlich zur Schwachstelle CVE-2019-5736 die Schwachstelle
CVE-2018-6556 behoben, die ein lokaler, nicht authentisierter Angreifer
für das Ausspähen von Informationen, Durchführen von Denial-of-Service-
und eventuell weiteren, nicht näher spezifizierten Angriffen ausnutzen
kann.
Version 15 (01.04.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 14 (11.03.19):
Für SUSE OpenStack Cloud 6 LTSS und SUSE Linux Enterprise Module for
Containers 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in
‘runc’ bereit. Die Updates erfordern eine aktualisierte Version von Go,
wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und
CVE-2018-16875) behoben werden. Ferner wird die Schwachstelle
CVE-2016-9962 in Docker gelistet, welche einem entfernten, einfach
authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren.
Version 13 (07.03.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 20 (30.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates für Linux Containers (LXC)
auf Version 3.0.4 im Status ‘testing’ bereit, um die Schwachstelle
CVE-2019-5736 und weitere nicht sicherheitsrelevante Fehler zu beheben.
Version 19 (05.08.19):
Oracle veröffentlicht für Oracle Linux 8 (aarch64, x86_64)
Sicherheitsupdates für ‘container-tools:rhel8’, um die Schwachstelle
CVE-2019-5736 und nicht sicherheitsrelevante Fehler zu beheben.
Version 18 (07.05.19):
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für das
‘container-tools:rhel8 module’ bereit. Die Updates stehen unter anderem
für Red Hat Enterprise Linux for ARM 64 8 und Red Hat Enterprise Linux for
x86_64 8 zur Verfügung.
Version 17 (26.04.19):
openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0
Sicherheitsupdates für ‘lxc’ und ‘lxcfs’ auf die Version 3.1.0 und behebt
damit neben der Schwachstelle CVE-2019-5736 auch die Schwachstelle
CVE-2018-6556. Die letztgenannte Schwachstelle ermöglicht einem lokalen,
nicht authentisierten Angreifer das Ausspähen von Informationen,
Durchführen von Denial-of-Service- und eventuell weiteren, nicht näher
spezifizierten Angriffen.
Version 16 (18.04.19):
Für openSUSE Backports SLE 15 stehen Sicherheitsupdates für ‘lxc’ und
‘lxcfs’ auf die Version 3.1.0 zur Verfügung. Mit diesen Sicherheitsupdates
wird zusätzlich zur Schwachstelle CVE-2019-5736 die Schwachstelle
CVE-2018-6556 behoben, die ein lokaler, nicht authentisierter Angreifer
für das Ausspähen von Informationen, Durchführen von Denial-of-Service-
und eventuell weiteren, nicht näher spezifizierten Angriffen ausnutzen
kann.
Version 15 (01.04.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 14 (11.03.19):
Für SUSE OpenStack Cloud 6 LTSS und SUSE Linux Enterprise Module for
Containers 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in
‘runc’ bereit. Die Updates erfordern eine aktualisierte Version von Go,
wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und
CVE-2018-16875) behoben werden. Ferner wird die Schwachstelle
CVE-2016-9962 in Docker gelistet, welche einem entfernten, einfach
authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren.
Version 13 (07.03.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 19 (05.08.19):
Oracle veröffentlicht für Oracle Linux 8 (aarch64, x86_64)
Sicherheitsupdates für ‘container-tools:rhel8’, um die Schwachstelle
CVE-2019-5736 und nicht sicherheitsrelevante Fehler zu beheben.
Version 18 (07.05.19):
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für das
‘container-tools:rhel8 module’ bereit. Die Updates stehen unter anderem
für Red Hat Enterprise Linux for ARM 64 8 und Red Hat Enterprise Linux for
x86_64 8 zur Verfügung.
Version 17 (26.04.19):
openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0
Sicherheitsupdates für ‘lxc’ und ‘lxcfs’ auf die Version 3.1.0 und behebt
damit neben der Schwachstelle CVE-2019-5736 auch die Schwachstelle
CVE-2018-6556. Die letztgenannte Schwachstelle ermöglicht einem lokalen,
nicht authentisierten Angreifer das Ausspähen von Informationen,
Durchführen von Denial-of-Service- und eventuell weiteren, nicht näher
spezifizierten Angriffen.
Version 16 (18.04.19):
Für openSUSE Backports SLE 15 stehen Sicherheitsupdates für ‘lxc’ und
‘lxcfs’ auf die Version 3.1.0 zur Verfügung. Mit diesen Sicherheitsupdates
wird zusätzlich zur Schwachstelle CVE-2019-5736 die Schwachstelle
CVE-2018-6556 behoben, die ein lokaler, nicht authentisierter Angreifer
für das Ausspähen von Informationen, Durchführen von Denial-of-Service-
und eventuell weiteren, nicht näher spezifizierten Angriffen ausnutzen
kann.
Version 15 (01.04.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 14 (11.03.19):
Für SUSE OpenStack Cloud 6 LTSS und SUSE Linux Enterprise Module for
Containers 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in
‘runc’ bereit. Die Updates erfordern eine aktualisierte Version von Go,
wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und
CVE-2018-16875) behoben werden. Ferner wird die Schwachstelle
CVE-2016-9962 in Docker gelistet, welche einem entfernten, einfach
authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren.
Version 13 (07.03.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 18 (07.05.19):
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für das
‘container-tools:rhel8 module’ bereit. Die Updates stehen unter anderem
für Red Hat Enterprise Linux for ARM 64 8 und Red Hat Enterprise Linux for
x86_64 8 zur Verfügung.
Version 17 (26.04.19):
openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0
Sicherheitsupdates für ‘lxc’ und ‘lxcfs’ auf die Version 3.1.0 und behebt
damit neben der Schwachstelle CVE-2019-5736 auch die Schwachstelle
CVE-2018-6556. Die letztgenannte Schwachstelle ermöglicht einem lokalen,
nicht authentisierten Angreifer das Ausspähen von Informationen,
Durchführen von Denial-of-Service- und eventuell weiteren, nicht näher
spezifizierten Angriffen.
Version 16 (18.04.19):
Für openSUSE Backports SLE 15 stehen Sicherheitsupdates für ‘lxc’ und
‘lxcfs’ auf die Version 3.1.0 zur Verfügung. Mit diesen Sicherheitsupdates
wird zusätzlich zur Schwachstelle CVE-2019-5736 die Schwachstelle
CVE-2018-6556 behoben, die ein lokaler, nicht authentisierter Angreifer
für das Ausspähen von Informationen, Durchführen von Denial-of-Service-
und eventuell weiteren, nicht näher spezifizierten Angriffen ausnutzen
kann.
Version 15 (01.04.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 14 (11.03.19):
Für SUSE OpenStack Cloud 6 LTSS und SUSE Linux Enterprise Module for
Containers 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in
‘runc’ bereit. Die Updates erfordern eine aktualisierte Version von Go,
wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und
CVE-2018-16875) behoben werden. Ferner wird die Schwachstelle
CVE-2016-9962 in Docker gelistet, welche einem entfernten, einfach
authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren.
Version 13 (07.03.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 17 (26.04.19):
openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0
Sicherheitsupdates für ‘lxc’ und ‘lxcfs’ auf die Version 3.1.0 und behebt
damit neben der Schwachstelle CVE-2019-5736 auch die Schwachstelle
CVE-2018-6556. Die letztgenannte Schwachstelle ermöglicht einem lokalen,
nicht authentisierten Angreifer das Ausspähen von Informationen,
Durchführen von Denial-of-Service- und eventuell weiteren, nicht näher
spezifizierten Angriffen.
Version 16 (18.04.19):
Für openSUSE Backports SLE 15 stehen Sicherheitsupdates für ‘lxc’ und
‘lxcfs’ auf die Version 3.1.0 zur Verfügung. Mit diesen Sicherheitsupdates
wird zusätzlich zur Schwachstelle CVE-2019-5736 die Schwachstelle
CVE-2018-6556 behoben, die ein lokaler, nicht authentisierter Angreifer
für das Ausspähen von Informationen, Durchführen von Denial-of-Service-
und eventuell weiteren, nicht näher spezifizierten Angriffen ausnutzen
kann.
Version 15 (01.04.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 14 (11.03.19):
Für SUSE OpenStack Cloud 6 LTSS und SUSE Linux Enterprise Module for
Containers 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in
‘runc’ bereit. Die Updates erfordern eine aktualisierte Version von Go,
wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und
CVE-2018-16875) behoben werden. Ferner wird die Schwachstelle
CVE-2016-9962 in Docker gelistet, welche einem entfernten, einfach
authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren.
Version 13 (07.03.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 16 (18.04.19):
Für openSUSE Backports SLE 15 stehen Sicherheitsupdates für ‘lxc’ und
‘lxcfs’ auf die Version 3.1.0 zur Verfügung. Mit diesen Sicherheitsupdates
wird zusätzlich zur Schwachstelle CVE-2019-5736 die Schwachstelle
CVE-2018-6556 behoben, die ein lokaler, nicht authentisierter Angreifer
für das Ausspähen von Informationen, Durchführen von Denial-of-Service-
und eventuell weiteren, nicht näher spezifizierten Angriffen ausnutzen
kann.
Version 15 (01.04.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 14 (11.03.19):
Für SUSE OpenStack Cloud 6 LTSS und SUSE Linux Enterprise Module for
Containers 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in
‘runc’ bereit. Die Updates erfordern eine aktualisierte Version von Go,
wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und
CVE-2018-16875) behoben werden. Ferner wird die Schwachstelle
CVE-2016-9962 in Docker gelistet, welche einem entfernten, einfach
authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren.
Version 13 (07.03.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 15 (01.04.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 14 (11.03.19):
Für SUSE OpenStack Cloud 6 LTSS und SUSE Linux Enterprise Module for
Containers 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in
‘runc’ bereit. Die Updates erfordern eine aktualisierte Version von Go,
wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und
CVE-2018-16875) behoben werden. Ferner wird die Schwachstelle
CVE-2016-9962 in Docker gelistet, welche einem entfernten, einfach
authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren.
Version 13 (07.03.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 14 (11.03.19):
Für SUSE OpenStack Cloud 6 LTSS und SUSE Linux Enterprise Module for
Containers 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in
‘runc’ bereit. Die Updates erfordern eine aktualisierte Version von Go,
wodurch drei weitere Schwachstellen (CVE-2018-16873, CVE-2018-16874 und
CVE-2018-16875) behoben werden. Ferner wird die Schwachstelle
CVE-2016-9962 in Docker gelistet, welche einem entfernten, einfach
authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren.
Version 13 (07.03.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 13 (07.03.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘containerd’,
‘docker’, ‘docker-runc’, ‘golang-github-docker-libnetwork’ und ‘runc’
bereit. Die Behebung der Schwachstelle in ‘runc’ erfordert eine
aktualisierte Version von Go, wodurch drei weitere Schwachstellen
(CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 12 (27.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 11 (27.02.19):
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools
15 und SUSE Linux Enterprise Module for Containers 15 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘runc’ bereit. Die
Updates erfordern eine aktualisierte Version von Go, wodurch drei weitere
Schwachstellen (CVE-2018-16873, CVE-2018-16874 und CVE-2018-16875) behoben
werden.
Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 10 (26.02.19):
Red Hat stellt Sicherheitsupdates für OpenShift Container Platform 3.4,
3.5, 3.6 und 3.7 zur Behebung der Schwachstelle bereit.
Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 9 (26.02.19):
Red Hat veröffentlicht Red Hat Container Development Kit 3.7.0-1 als
Sicherheitsupdate zur Behebung der Schwachstelle.
Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 8 (26.02.19):
VMware informiert darüber, dass die Schwachstelle mit VMware PKS 1.3.3 und
1.2.10 behoben wird. Zunächst wurden vom Hersteller fälschlicherweise die
Versionen 1.3.2 und 1.2.9 als Sicherheitsupdates angegeben.
Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 7 (20.02.19):
Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-8308 in flatpak
bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise
Linux (RHEL) Desktop, Server und Workstation 7, RHEL Server EUS 7.6, AUS
7.6 und TUS 7.6, RHEL for Scientific Computing 7, RHEL EUS Compute Node
7.6 sowie RHEL for ARM 64 7 zur Verfügung. VMware aktualisiert den
Sicherheitshinweis VMSA-2019-0001 und informiert darin über die
Verfügbarkeit von vSphere Integrated Containers in Version 1.5.1 zur
Behebung der Schwachstelle CVE-2019-5736 in runc.
Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 6 (19.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Das Update erfordert eine aktualisierte
Version von Go, wodurch drei weitere Schwachstellen (CVE-2018-16873,
CVE-2018-16874 und CVE-2018-16875) behoben werden.
Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 5 (19.02.19):
VMware informiert darüber, dass die Schwachstelle in runc auch eigene
Produkte betrifft und nennt in diesem Kontext die Produkte VMware
Integrated OpenStack with Kubernetes (VIO-K) 5.x, VMware PKS (PKS) 1.2.x
und 1.3.x, die VMware vCloud Director Container Service Extension (CSE)
1.x und vSphere Integrated Containers (VIC) 1.x. Als Sicherheitsupdates
wurden bisher CSE 1.2.7 sowie PKS 1.2.9 und 1.3.2 veröffentlicht.
Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (19.02.19):
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für ‘docker-runc’
bereit, um die Schwachstelle CVE-2019-5736 zu beheben.
Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (14.02.19):
Für das verwandte Problem in Flatpak wurde inzwischen der
Schwachstellenbezeichner CVE-2019-8308 vergeben und dieser deshalb hier
ergänzt. Sophos veröffentlicht erste Informationen zu CVE-2019-5736 in
Docker und LXC und empfiehlt, die verfügbaren Sicherheitsupdates zu
installieren. Sophos Central setzt selbst Container-Software ein. Für die
SUSE Linux Enterprise Module für Open Buildservice Development Tools sowie
Containers 12 und 15, für SUSE OpenStack Cloud 6 LTSS und OpenStack Cloud
Magnum Orchestration 7 stehen Sicherheitsupdates bereit, um die
Schwachstelle CVE-2019-5736 in ‘docker-runc’ zu beheben. Für openSUSE
Backports SLE 15 steht ein Sicherheitsupdate zur Behebung der
Schwachstelle in ‘runc’ bereit. Für dieses Sicherheitsupdate wird
zeitgleich ‘go1.10’ aktualisiert, wodurch weitere Schwachstellen behoben
werden (CVE-2018-16873, CVE-2018-16874, CVE-2018-16875). Für Fedora 29
steht ein Sicherheitsupdate für ‘docker-latest’ im Status ‘testing’ zur
Verfügung. Debian stellt für Debian Stretch (stable) ein Sicherheitsupdate
zur Behebung der Schwachstelle in ‘flatpak’ bereit.
Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (13.02.19):
SUSE veröffentlicht für SUSE CaaS Platform 3.0 Sicherheitsupdates für
runc, um die referenzierte Schwachstelle zu beheben. Für Fedora 28 und 29
stehen Sicherheitsupdates für runc und Docker im Status ‘testing’ bereit.
Version 1 (12.02.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in runc
ausnutzen, um beliebige Kommandos mit den Rechten von ‘root’ auf dem Host-
Dateisystem auszuführen. Der Angreifer muss dazu einen Benutzer mit
‘root’-Rechten zur Erstellung eines neuen Containers aus einem speziell
präparierten Container-Image oder zur Ausführung eines Befehls in einem
speziell präparierten Container über ‘docker exec’ verleiten. Die
Schwachstelle ist unter dem Namen ‘RUNCESCAPE’ bekannt.

runc ist ein Kommandozeilenwerkzeug, über das Container gemäß der Open
Container Initiative (OCI)-Spezifikation erzeugt und gestartet werden
können. Das Werkzeug wird unter anderem von Docker, cri-o, containerd und
Kubernetes eingesetzt.

Red Hat informiert über die Schwachstelle und stellt für Red Hat Enterprise
Linux 7 Extras Sicherheitsupdates für ‘runc’ und ‘docker’ bereit, um diese
Schwachstelle zu beheben. Die Sicherheitsupdates stehen damit unter anderem
für Red Hat Enterprise Linux Server 7 und Linux for ARM 64 7 zur Verfügung.
Benutzer, die OpenShift Container Platform 3.4 oder höher einsetzen, sollten
die Updates zeitnah einspielen.

Für Oracle Linux 7 wird ebenfalls ein Sicherheitsupdate für ‘runc’
bereitgestellt. In der Änderungshistorie des Updates wird zusätzlich
CVE-2016-9962 erwähnt, die für ‘docker’ auf dieser Plattform bereits behoben
wurde.

Canonical gibt auf der Übersichtsseite für CVE-2019-5736 an, dass für Ubuntu
18.10, 18.04 LTS und 16.04 LTS bereits Ende Januar Updates für ‘runc’ und
‘docker.io’ veröffentlicht wurden.

Die Entwickler von Docker stellen Version 18.09.2 als Sicherheitsupdate zur
Behebung der Schwachstelle bereit. Zusätzlich wurde ein Backport-Patch-
Repository für ‘legacy’ runc eingerichtet.

In LXC werden privilegierte Container, die zur Ausnutzung der Schwachstelle
erforderlich sind, als unsicher angesehen. Daher plant der Hersteller hier
nicht, einen eigenen Schwachstellenbezeichner zu beantragen. Für LXC wird
die Schwachstelle behoben, indem die entsprechende Binärdatei bei Start oder
Zugriff auf den präparierten Container temporär kopiert und auf
Kompromittierung während der Laufzeit überwacht wird. Ein entsprechender
Patch steht als Commit über GitHub zur Verfügung.

Der Hersteller von Flatpak weist darauf hin, dass die Sandbox von Flatpak
nur mit ‘root’-Rechten läuft, wenn das Skript ‘apply_extra’ während der
systemweiten Installation von Flatpak-Anwendungen ausgeführt wird. Die
Schwachstelle in runc betrifft in diesem Fall auch Flatpak und wird mit den
Versionen 1.0.7 und 1.2.3 der Software behoben. Für Fedora 28 und 29 stehen
Sicherheitsupdates auf diese Versionen im Status ‘testing’ bereit.

Die Entwickler von runc weisen darauf hin, dass die Schwachstelle in
Standardeinstellungen von SELinux (siehe Workaround) für Fedora nicht in
jedem Fall geblockt ist, da beispielsweise für ‘moby-engine’ der Container-
Prozess als ‘container_runtime_t’ und nicht als ‘container_t’ läuft. Fedora
stellt daher für Fedora 28 und 29 ein Sicherheitsupdate für ‘moby-engine’
bereit. Diese Updates befinden sich im Status ‘testing’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0297]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html