Expertos en seguridad han encontrado una vulnerabilidad de condición de carrera que aplica a todas las versiones de Docker, la falla podría ser explotada por un atacante para leer y escribir cualquier archivo en el sistema host.
Identificada por CVE-2018-15664, la falla de tiempo de verificación / tiempo de uso (o más conocida como TOCTOU) es causada por cambios del sistema entre la verificación de una condición (es decir, la verificación de autorización) y el uso de los resultados de esa comprobación.
El problema reside en la función FollowSymlinkInScope que permite resolver una ruta específica de una manera segura. FollowSymlinkInScope se compone de evalSymlinksInScope que devuelve una ruta absoluta. Esta función maneja las rutas de manera independiente en la plataforma.
El proceso aprovecha la utilidad 'docker cp' para copiar contenido entre un contenedor y el sistema de archivos local. Un posible escenario de ataque considera que un atacante esté activo dentro de un contenedor mientras el administrador del host ejecuta ‘docker cp’ para copiar datos dentro o fuera del contenedor.
Una de las propuestas de mitigación propone como solución, la modificación de 'chrootarchive' para ejecutar operaciones de archivo en un entorno seguro y no en el directorio principal infectado. Otra mitigación consiste en pausar el contenedor al acceder al sistema de archivos, esta opción podría brindar protección contra los ataques más básicos que explotan el problema.
A la fecha de hoy, se ha enviado un parche de seguridad en sentido ascendente y se está revisando actualmente, para dar por termino de una vez con esta vulnerabilidad.
REFERENCIA
COMENTARIOS