W Kata Containers przed wersją 3.27.0 istnieje podatność pozwalająca użytkownikowi kontenera na modyfikację systemu plików używanego przez Guest micro VM, co prowadzi do wykonania dowolnego kodu jako root w tej maszynie wirtualnej. Podatność dotyczy konfiguracji z Cloud Hypervisor.
▸ Pokaż oryginał (EN)
Kata Containers is an open source project focusing on a standard implementation of lightweight Virtual Machines (VMs) that perform like containers. In versions prior to 3.27.0, an issue in Kata with Cloud Hypervisor allows a user of the container to modify the file system used by the Guest micro VM ultimately achieving arbitrary code execution as root in said VM. The current understanding is this doesn’t impact the security of the Host or of other containers / VMs running on that Host (note that arm64 QEMU lacks NVDIMM read-only support: It is believed that until the upstream QEMU gains this capability, a guest write could reach the image file). Version 3.27.0 patches the issue.
Błąd sklasyfikowany jako CWE-732 (nieprawidłowe uprawnienia do zasobu) wynika z niewystarczającej ochrony systemu plików Guest micro VM w Kata Containers przy użyciu Cloud Hypervisor. Użytkownik kontenera może zmodyfikować system plików VM, uzyskując w ten sposób możliwość wykonania dowolnego kodu z uprawnieniami root wewnątrz tej maszyny wirtualnej. Dodatkowe ryzyko dotyczy platform arm64 z QEMU, gdzie brak obsługi trybu tylko do odczytu dla NVDIMM oznacza, że zapis z poziomu gościa może dotrzeć do pliku obrazu na hoście.
Atakujący będący użytkownikiem kontenera może uzyskać uprawnienia root wewnątrz Guest micro VM i wykonać w niej dowolny kod. Według obecnej wiedzy podatność nie wpływa bezpośrednio na bezpieczeństwo hosta ani innych kontenerów lub maszyn wirtualnych działających na tym hoście, z wyjątkiem platform arm64 z QEMU, gdzie możliwy jest zapis do pliku obrazu.
Należy zaktualizować Kata Containers do wersji 3.27.0, która zawiera patch rozwiązujący problem. Szczegóły dostępne w oficjalnym advisory oraz w referencjach producenta.
Kata Containers w wersjach przed 3.27.0, konfiguracje z Cloud Hypervisor; dodatkowe ryzyko na platformach arm64 z QEMU (brak obsługi NVDIMM read-only)
Producent zaznacza, że na platformach arm64 z QEMU brak obsługi NVDIMM read-only (ograniczenie upstream QEMU) może skutkować tym, że zapis z poziomu gościa dotrze do pliku obrazu na hoście — co rozszerza potencjalny zasięg podatności ponad Guest micro VM.
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HKatacontainers Kata Containers
APPKatacontainers< 3.27.0
Powiązane podatności
Kata Containers is an open source project focusing on a standard implementation of lightweight Virtual Machine...
Kata Containers is an open source project focusing on a standard implementation of lightweight Virtual Machine...
An issue was discovered in Kata Containers through 1.11.3 and 2.x through 2.0-rc1. The runtime will execute bi...
An improper file permissions vulnerability affects Kata Containers prior to 1.11.5. When using a Kubernetes ho...
A malicious guest compromised before a container creation (e.g. a malicious guest image or a guest running mul...