zurück zum Artikel

Docker für Windows: Microsoft patcht Go-Bibliothek hcsshim

Olivia von Westernhagen
Microsoft

(Bild: Docker)

Wer Docker zur Containervirtualisierung unter Windows nutzt oder selbst Go-Programme entwickelt, sollte dringend die Aktualität des "Windows Host Compute Service Shim" (hcsshim)-Packages auf seinem System überprüfen.

Ein Bug in hcsshim (Windows Host Compute Service Shim), einer Bibliothek für die Programmiersprache Go, ermöglicht unter bestimmten Bedingungen die Code-Ausführung auf Windows-Rechnern aus der Ferne. Bei hcsshim handelt es sich um einen Wrapper für die Container-Management-API Host Compute Service (HCS), [1] der den Zugriff auf Hyper-V-Container [2] aus Go-Programmen heraus ermöglicht. Er kommt vor allem in der Docker Engine [3] zum Einsatz, ist aber auch frei für andere Projekte verwendbar.

Um die Schwachstelle auszunutzen, müsste ein Angreifer einen authentifizierten Admin dazu bringen, ein mit Schadcode präpariertes Container-Image auf dem Zielrechner zu importieren. Ein Validierungsfehler in hcssim führt anschließend zur Schadcode-Ausführung. Der Entdecker des Bugs plant die Veröffentlichung weiterer Details [4] sowie eines Proof-of-Concept-Angriffs auf Docker am 9. Mai.

hcsshim 0.6.10 fixt den Fehler

Laut Sicherheitshinweis [5] stuft Microsoft den Bug zwar als "kritisch" ein, hält es aber für unwahrscheinlich, dass die daraus resultierende Schwachstelle (CVE-2018-8115 [6]) ausgenutzt wird.

Docker-Nutzer und Go-Programmierer sollten sämtliche älteren hcsshim-Versionen dennoch zügig gegen die abgesicherte Version 0.6.10 austauschen. Sie ist in Microsofts Sicherheitshinweis verlinkt oder kann alternativ direkt von GitHub heruntergeladen werden [7]. (ovw [8])

URL dieses Artikels:
https://www.heise.de/-4040139

Links in diesem Artikel:
[1] https://blogs.technet.microsoft.com/virtualization/2017/01/27/introducing-the-host-compute-service-hcs/
[2] https://docs.microsoft.com/de-de/virtualization/windowscontainers/manage-containers/hyperv-container
[3] https://docs.docker.com/engine/
[4] https://hansmi.ch/articles/2018-04-windows-hcsshim-security
[5] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8115
[6] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8115
[7] https://github.com/Microsoft/hcsshim/releases/tag/v0.6.10
[8] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2018 Heise Medien