Red Hat ujawnił wczoraj, że w jednym z jego flagowych rozwiązań istnieje luka w zabezpieczeniach, która może zostać wykorzystana przez hakera, jeśli użytkownik i nie korzysta z systemu SeLinux i uruchomi na komputerze dziurawy kontener.Luka jest groźna, nadano jej bowiem status „Important” (Poważna). Nosi nazwę CVE-2019-5736 i znajduje się w dwóch miejscach. W oprogramowaniu runC (lekkie, przenośne środowisko wykonawcze kontenera) i w samym kontenerze Docker. Pozwala ona hakerowi wyjść z kontenera i następnie uzyskać dostęp do systemu plików.
Mamy i dobrą wiadomość. Luka nie jest niebezpieczna jeśli użytkownik korzysta z oprogramowania SELinux (zestaw modyfikacji Linuksa zmieniający zasady przypisywania zasobów poszczególnym aplikacjom), które zostało na systemie Red Hat aktywowane domyślnie.
Aby sprawdzić, czy konkretny system Red Hat wymusił stosowanie SELinux, należy użyć jednego z zaprezentowanych poniżej poleceń:
/usr/sbin/getenforce
Enforcing <==
lub
sestatus
SELinux status: enabled <==
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 31
Podatność znajduje się w następujących systemach Red Hat: Red Hat OpenShift Container Platform 3.x; Red Hat OpenShift Online; Red Hat OpenShift Dedicated i Red Hat Enterprise Linux 7.
Dokładny opis podatności i oraz porada, jak zabezpieczyć swój system, znajduje się
tutaj.
Ukryj panel
![[RSS]](images/rss_bigs.png "Kliknij i subskrybuj RSS-a")
