Gravi vulnerabilità di sicurezza individuate nelle vecchie versioni di Docker, la tecnologia di “contenitori” per la virtualizzazione “leggera” delle applicazioni su Linux che non necessita dell’impiego di una virtual machine completa. Una nuova release (Docker 1.3.2) è in circolazione e l’update è altamente consigliato a tutti.
Il bug più grave scoperto dai ricercatori di sicurezza riguarda tutte le versioni precedenti di Docker fino alla 1.3.1, e potrebbe portare a una elevazione di privilegi con conseguente esecuzione di codice malevolo da remoto.
La vulnerabilità, classificata come CVE-2014-6407, si trova nella parte di Docker deputata alla gestione del file system nei file immagine da eseguire nella sandbox: le versioni di Docker fino alla 1.3.1 seguivano i link “hard” o simbolici senza eseguire alcun controllo, fatto che avrebbe permesso la scrittura di un file malevolo al di fuori della sandbox con possibile compromissione dell’intera installazione Linux.
Ora Docker 1.3.2 esegue controlli aggiuntivi prima di estrarre un’immagine e mandarla in esecuzione, limitando ulteriormente l’accesso al file system dell’OS per minimizzare il rischio di compromissione. La nuova release corregge anche un altro bug (CVE-2014-6408), scovato questa volta nel codice di Docker 1.3.0 e 1.3.1 e potenzialmente sfruttabile per “fuggire” dalla gabbia di contenimento della sandbox eseguendo codice malevolo sul sistema.
Via | The Register