check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

도커runc 취약점 발견...여러 컨테이너 관리 시스템 취약해

hsk 기자 mkgil@dailysecu.com 2019년 02월 18일 월요일

analytics-3088958_640.jpg
SUSELinux GmbH의 선임 소프트웨어 엔지니어인 Aleksa Sarai가 도커, containerd, Podman, CRI-O의 기본 컨테이너 런타임 runc에 영향을 주는 CVE-2019-5736 취약점을 공개했다. Adam Iwaniuk와 BorysPopławski가 발견한 해당 취약점은 심각수준으로 분류되었다.

위와 같은 종류의 취약점은 IT 환경에 크게 영향을 미칠 수 있고, 악용시 전체 컨테이너 호스트에 영향을 미쳐 궁극적으로 수백에서 수천개 다른 컨테이너를 손상시킬 수 있다.

레드햇(RedHat)이 게시한 블로그 포스트는 “runc와 도커에 존재하는 CVE-2019-5736 결함의 공개는 많은 IT 관리자, 매니저 CxO들에게 나쁜 시나리오를 보여준다. 기업 IT 시스템에 최후의 심판이 될 수도 있는 사고는 없지만, 상호 연결된 생산 시스템에 영향을 미치는 계단식 악용 사례가 있다”고 언급했다.

Sarai는 OpenWall 메일링 리스트에 “이 취약점은 악의적인 컨테이너가 호스트 runc 바이너리를 덮어쓰고 루트 레벨 코드 실행이 가능하게 한다. 사용자 상호 작용의 수준은 다음의 컨텍스트 중 하나의 컨테이너 내에서 루트로 어떠한 명령이든 실행할 수 있도록 한다”고 썼다.

- 공격자 제어 이미지를 사용하는 새 컨테이너 생성

- 공격자가 이전 쓰기 권한을 가진 기존 컨테이너에 docker exec 첨부

Runc 관리자 중 하나인 Sarai는 취약점 해결을 위해 git커밋을 시도했지만 runc로 구축된 모든 프로젝트가 변경 사항을 포함해야 한다. 도커는 해당 문제를 해결하기 위해 v18.09.2 버전을 발표했지만, 전문가에 따르면 온라인에 노출된 수천개의 도커 데몬(대부분 미국과 중국)은 여전히 취약하다.

RedHatEnterprise Linux와 OpenShift의 기본 구성은 보호되어 있고, Linux 배포판과 우분투는 이 문제를 해결하기 위해 노력 중이다. 구글 클라우드와 AWS 또한 고객에게 영향 받는 서비스의 컨테이너를 업데이트하도록 권장하는 권고문을 게시했다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록