Bulletin d'alerte Debian
DLA-442-1 lxc -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 29 février 2016
- Paquets concernés :
- lxc
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2013-6441, CVE-2015-1335.
- Plus de précisions :
-
- CVE-2013-6441
Le script de modèle lxc-sshd avait l’habitude de se monter lui-même comme /sbin/init dans le conteneur en utilisant un
bind-mount
modifiable.Cette mise à jour résout le problème en utilisant un
bind-mount
uniquement lisible, empêchant toute forme de dommage accidentel éventuel. - CVE-2015-1335
Lors du démarrage du conteneur, lxc règle l’arbre du système de fichiers initial du conteneur en créant beaucoup de montages, en se guidant sur le fichier de configuration.
La configuration du conteneur est entre les mains de l’administrateur ou de l’utilisateur sur l’hôte, aussi nous n’essayons pas de protéger contre de mauvaises entrées. Cependant, puisque la cible de montage est dans le conteneur, il est possible que l’administrateur du conteneur puisse rediriger le montage avec des liens symboliques. Cela pourrait contourner le propre démarrage du conteneur (c'est-à-dire, le confinement d’un conteneur de l’administrateur par la politique restrictive d’AppArmor, en redirigeant l’écriture requise vers /proc/self/attr/current), ou contourner la politique d’AppArmor (basée sur les chemins) en redirigeant, par exemple, /proc vers /mnt dans le conteneur.
Cette mise à jour implémente une fonction safe_mount() empêchant lxc de réaliser des montages sur des liens symboliques.
- CVE-2013-6441