Docker: Lücke erlaubt Root-Zugriff auf Dateien

Eine Sicherheitslücke in sämtlichen Versionen der Containervirtualisierungs-Software Docker ermöglicht Angreifern mit "normalen" Nutzerrechten auf einem Hostrechner den lesenden und schreibenden Dateizugriff mit Root-Rechten aus laufenden Containern heraus.

Vor der (mit der Kennung CVE-2018-15664 versehenen) Lücke warnt auch das CERT des BSI (CERT-Bund). Der Software-Entwickler Aleksa Sarai, der sie entdeckt hat, hat neben zwei Exploit-Scripts für den Lese- beziehungsweise Schreibzugriff auch einen Patch an das Docker-Team übermittelt. Derzeit befindet der sich allerdings noch im Review-Prozess.

Über Angriffe auf CVE-2018-15664 in freier Wildbahn ist indes noch nichts bekannt.

Symlinks als Angriffswerkzeug

In einem Beitrag in der OSSEC-Mailing-Liste erklärt Sarai, dass die Lücke auf einem Bug in der Funktion FollowSymlinkInScope basiere, die für das (sichere) Auflösen von Pfadangaben zuständig sei. Demnach krankt FollowSymlinkInScope an einem sogenannten Time-of-Check-to-Time-of-Use-(TOCTTOU)Problem. Ein Angreifer könne den Zeitraum zwischen der (erfolgten) Pfadauflösung und dessen Weiterverarbeitung nutzen, um eine symbolische Verknüpfung (Symlink) zu erstellen und sich über diesen Umweg letztlich root-Zugriff auf Pfade auf dem Host zu verschaffen.

Im Zusammenspiel mit dem "docker cp"-Befehl zum Kopieren von Dateien und Ordnern zwischen Docker-Container und lokalem Dateisystem, ermöglicht der Bug laut Sarai das Erlangen von Lese- und Schreibzugriff auf jeden beliebigen Pfad auf dem Host.

Erst pausieren, dann kopieren

Solange noch keine gegen CVE-2018-15664 abgesicherte Docker-Version verfügbar ist, rät Sarai dazu, grundsätzlich auf die Ausführung von "docker cp" bei laufenden Containern zu verzichten und diese vor Kopiervorgängen immer zu pausieren. Um auch die zugrundliegende Problematik drohender TOCTTOU/Symlink-Angriffe in den Griff zu bekommen, arbeite er derzeit an Linux-Kernel-Patches für die sichere Pfadauflösung. (ovw)