Docker für Windows: Microsoft patcht Go-Bibliothek hcsshim
Wer Docker zur Containervirtualisierung unter Windows nutzt oder selbst Go-Programme entwickelt, sollte dringend die Aktualität des "Windows Host Compute Service Shim" (hcsshim)-Packages auf seinem System überprüfen.
(Bild: Docker)
Ein Bug in hcsshim (Windows Host Compute Service Shim), einer Bibliothek für die Programmiersprache Go, ermöglicht unter bestimmten Bedingungen die Code-Ausführung auf Windows-Rechnern aus der Ferne. Bei hcsshim handelt es sich um einen Wrapper für die Container-Management-API Host Compute Service (HCS), der den Zugriff auf Hyper-V-Container aus Go-Programmen heraus ermöglicht. Er kommt vor allem in der Docker Engine zum Einsatz, ist aber auch frei für andere Projekte verwendbar.
Um die Schwachstelle auszunutzen, müsste ein Angreifer einen authentifizierten Admin dazu bringen, ein mit Schadcode präpariertes Container-Image auf dem Zielrechner zu importieren. Ein Validierungsfehler in hcssim führt anschließend zur Schadcode-Ausführung. Der Entdecker des Bugs plant die Veröffentlichung weiterer Details sowie eines Proof-of-Concept-Angriffs auf Docker am 9. Mai.
hcsshim 0.6.10 fixt den Fehler
Laut Sicherheitshinweis stuft Microsoft den Bug zwar als "kritisch" ein, hält es aber für unwahrscheinlich, dass die daraus resultierende Schwachstelle (CVE-2018-8115) ausgenutzt wird.
Docker-Nutzer und Go-Programmierer sollten sämtliche älteren hcsshim-Versionen dennoch zügig gegen die abgesicherte Version 0.6.10 austauschen. Sie ist in Microsofts Sicherheitshinweis verlinkt oder kann alternativ direkt von GitHub heruntergeladen werden. (ovw)
