Sicherheitslücke bei Docker

[alexhell]

Es wurde bei Docker eine sehr schwere Sicherheitslücke gefunden. Siehe https://www.golem.de/news/docker-ku...rn-auf-hostsysteme-zugreifen-2402-181875.html. Da Docker bei Synology aktuell EOL ist, bin ich gespannt ob da ein Fix für kommt. Oder ob sie bis zur nächsten DSM Version warten, wo sie ja eine neue Docker Version ausliefern wollen. Aber das behebt die Lücke ja nicht bei den DSen die das Update nicht erhalten. Bis dahin sollte man genau gucken welches Images man sich runterläd.

 

[*kw*]

Da ist bei mir ein "Dauer-Lern-Thema"...

Da vom "Innenangriff" gesprochen wird, ist mein "offline-System" dennoch sicher, bzw. bin ich bei diesen (bereits installierten) Containern weiterhin sicher, wenn ich sie über watchtower aktualisieren lasse?


Edit: ...und ansonsten erstmal nix weiter installiere?

 

[alexhell]

Wenn der Schadcode in ein von dir verwendetes Image es schafft, dann bist du nicht sicher. Ich glaube bei den großem Images ist das Problem geringer, als bei einem kleinen unbekannten Maintainer.

 

[*kw*]

Danke für die Einschätzung. Nur grocy ist eine "kleine Nummer", wird aber von diesem netten jungen Mann entwickelt und betreut.

PS: den einzigen Schaden, den er bereits angerichtet hat, einen mit dieser wunderbaren App in den konzeptionellen Rezept-Einkaufs-Verbrauchs-Bestands-Wahnsinn zu treiben.

 

[Ulfhednir]

Da Docker bei Synology aktuell EOL ist, bin ich gespannt ob da ein Fix für kommt. Oder ob sie bis zur nächsten DSM Version warten, wo sie ja eine neue Docker Version ausliefern wollen.

Ich guck mir das noch bis zur nächsten Version an.. Wenn da nichts gescheites kommt, werde ich wohl mittelfristig eine VM für Docker bereitstellen.

 

[rustysponge]

Keine Ahnung ob es hilft, aber ich hab wegen des Updates ein Feature Inquiry bei Synology eingereicht. Das wird ihnen zwar vermutlich schnuppe sein, aber immerhin vermittelt es einem das Gefühl etwas getan zu haben.
Ich bin ansonsten auch für weitere Ideen zur temporären risk mitigation offen.

 

[*kw*]

Alles hilft. Wir haben seinerzeit auch Marius(hosting) beim "shitstorm" bezüglich "unbound & inaktuellem kernel" unterstützt. Offensichtlich hat's jemanden dort wachgerüttelt.

Ergebnis: offen...

 

[maxblank]

Keine Ahnung ob es hilft, aber ich hab wegen des Updates ein Feature Inquiry bei Synology eingereicht.

Danke dir. Habe es ebenfalls eingereicht.

 

[plang.pl]

Das hab ich schon das ein oder andere Mal gemacht. Wegen Docker-Version UND wegen der Kernel Version.
Der auf langfristig beste Workaround dürfte aber tatsächlich eine Linux-Server VM im VMM für Docker sein. Das schafft viele Probleme bezügl. Kernel + alter und verbastelter Docker-Version aus dem Weg. Auch wenn mit dem nächsten Update eine neue Docker-Version kommt, bleiben immer noch die 2 anderen Problematiken im Raum stehen.

 

[haydibe]

Ich schätze es vergleichsweise als eher einfach ein runc zu aktualisieren. Am Ende des Tages ist es das was die Container Ausführt. Der Umgang mit Images/Storage, Volume und Netzwerken steckt da nicht drin... Das kommt hauptsächlich von Docker selbst. Images und Storage könnte aber auch Containerd schon. Was ich damit sagen will: ich erwarte da nicht Synology spezifisches drin, so dass ein Austausch von runc eher einfach sein sollte.

Beim Image-Bau ist auch "nur" Buildkit betroffen. Als Workaround kann man auf das Legacy Build Umsteigen (Umgebungsvariable DOCKER_BUILDKIT=0) und die im Artikel erwähnten Vulnerability-Scanner einsetzen.

Hoffentlich schiebt syno schnell einen Fix des Container Managers mit aktualisierten runc raus.

 

[*kw*]

@haydibe : ...aber nach "Ich schätze es..." war ich draußen

 

[Ulfhednir]

Gerade eine Mail bekommen.. Die haben nicht alle Latten am Zaun.
Schreiben, dass die CVE noch recht neu sind und noch nicht in deren Datenbank auftauchen.. Schicken mir ein Formular, wo ich die CVE eintragen soll mit allen Pi-Pa-Po. Das beste: Ich soll ein Wirksamkeitsnachweis (PoC) - ist sogar Pflichtfeld! schicken.

 

[alexhell]

Wow. Das sagt viel aus. Vor allem so ein PoC ist ja auch schnell erstellt. Das kann doch jeder in 5 Minuten erledigen.
Also kann man davon ausgehen, dass es denen erstmal völlig egal ist. Vor allem wieso haben sie eigene Datenbanken dafür? Reicht denen nicht https://nvd.nist.gov/vuln/detail/CVE-2024-21626, https://nvd.nist.gov/vuln/detail/CVE-2024-23651, https://nvd.nist.gov/vuln/detail/CVE-2024-23652 und https://nvd.nist.gov/vuln/detail/CVE-2024-23653? Das ist echt unglaublich.

 

[Ulfhednir]

Das ärgert mich gerade richtig.. Wenn mir so eine Sache auffällt, prüfe ich das entweder selbst (wenn das in mein Kompetenzbereich fällt) oder leite so etwas an das DevOp-Team weiter. Würde ein Kollege so etwas bringen, würde ich den mit dem Stock übers Feld jagen.
Dem Endkunden die Arbeit aufzubürden, finde ich ehrlich gesagt eine ziemliche Frechheit.

Das Formular habe ich als treuer Endkunde natürlich trotzdem ausgefüllt:

 

[alexhell]

Ich erwarte eigentlich von einer Firma wie Synology, dass sie das schon längst wissen und auch an den Endkunden kommunizieren. Das ist das mindeste. Meine Meinung, dass ich mir nie wieder eine Synology NAS hole wird durch sowas immer mehr nur gefestigt. Die zwei die ich aktuell habe werden immer mehr nur zum Fileserver. Aktuell laufen da zwar noch 14 Docker Stacks, aber es werden keine neuen dazu kommen. Wird wahrscheinlich eher weniger werden.....

 

[rustysponge]

Du hast immerhin schon eine Antwort, ich warte bis jetzt immer noch auf eine Reaktion. ;-)

 

[Ulfhednir]

Mag daran liegen, dass sie mich schon kennen...

 

[xxxliquidsnake]

@alexhell danke für den Post, war mir bis heute nicht klar, und bin gerade geschockt.

Btw: Kannst du mir mal bitte eine DM schicken, hab eine Private frage.

Danke