Sicherheitslücke bei Docker

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
Es wurde bei Docker eine sehr schwere Sicherheitslücke gefunden. Siehe https://www.golem.de/news/docker-ku...rn-auf-hostsysteme-zugreifen-2402-181875.html. Da Docker bei Synology aktuell EOL ist, bin ich gespannt ob da ein Fix für kommt. Oder ob sie bis zur nächsten DSM Version warten, wo sie ja eine neue Docker Version ausliefern wollen. Aber das behebt die Lücke ja nicht bei den DSen die das Update nicht erhalten. Bis dahin sollte man genau gucken welches Images man sich runterläd.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Da ist bei mir ein "Dauer-Lern-Thema"... ;)

Da vom "Innenangriff" gesprochen wird, ist mein "offline-System" dennoch sicher, bzw. bin ich bei diesen (bereits installierten) Containern weiterhin sicher, wenn ich sie über watchtower aktualisieren lasse?

docker.jpg
Edit: ...und ansonsten erstmal nix weiter installiere?
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
Wenn der Schadcode in ein von dir verwendetes Image es schafft, dann bist du nicht sicher. Ich glaube bei den großem Images ist das Problem geringer, als bei einem kleinen unbekannten Maintainer.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Danke für die Einschätzung. Nur grocy ist eine "kleine Nummer", wird aber von diesem netten jungen Mann entwickelt und betreut.

PS: den einzigen Schaden, den er bereits angerichtet hat, einen mit dieser wunderbaren App in den konzeptionellen Rezept-Einkaufs-Verbrauchs-Bestands-Wahnsinn zu treiben. 😄
 
  • Haha
Reaktionen: peterhoffmann

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
Da Docker bei Synology aktuell EOL ist, bin ich gespannt ob da ein Fix für kommt. Oder ob sie bis zur nächsten DSM Version warten, wo sie ja eine neue Docker Version ausliefern wollen.
Ich guck mir das noch bis zur nächsten Version an.. Wenn da nichts gescheites kommt, werde ich wohl mittelfristig eine VM für Docker bereitstellen. 😏
 
  • Like
Reaktionen: Tuxnet

rustysponge

Benutzer
Mitglied seit
24. Sep 2019
Beiträge
14
Punkte für Reaktionen
6
Punkte
9
Keine Ahnung ob es hilft, aber ich hab wegen des Updates ein Feature Inquiry bei Synology eingereicht. Das wird ihnen zwar vermutlich schnuppe sein, aber immerhin vermittelt es einem das Gefühl etwas getan zu haben. 😅
Ich bin ansonsten auch für weitere Ideen zur temporären risk mitigation offen.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
Alles hilft. Wir haben seinerzeit auch Marius(hosting) beim "shitstorm" bezüglich "unbound & inaktuellem kernel" unterstützt. Offensichtlich hat's jemanden dort wachgerüttelt.

Ergebnis: offen... ;)
 
  • Like
Reaktionen: maxblank

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.113
Punkte für Reaktionen
2.154
Punkte
289
  • Like
Reaktionen: Benie

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Das hab ich schon das ein oder andere Mal gemacht. Wegen Docker-Version UND wegen der Kernel Version.
Der auf langfristig beste Workaround dürfte aber tatsächlich eine Linux-Server VM im VMM für Docker sein. Das schafft viele Probleme bezügl. Kernel + alter und verbastelter Docker-Version aus dem Weg. Auch wenn mit dem nächsten Update eine neue Docker-Version kommt, bleiben immer noch die 2 anderen Problematiken im Raum stehen.
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Ich schätze es vergleichsweise als eher einfach ein runc zu aktualisieren. Am Ende des Tages ist es das was die Container Ausführt. Der Umgang mit Images/Storage, Volume und Netzwerken steckt da nicht drin... Das kommt hauptsächlich von Docker selbst. Images und Storage könnte aber auch Containerd schon. Was ich damit sagen will: ich erwarte da nicht Synology spezifisches drin, so dass ein Austausch von runc eher einfach sein sollte.

Beim Image-Bau ist auch "nur" Buildkit betroffen. Als Workaround kann man auf das Legacy Build Umsteigen (Umgebungsvariable DOCKER_BUILDKIT=0) und die im Artikel erwähnten Vulnerability-Scanner einsetzen.

Hoffentlich schiebt syno schnell einen Fix des Container Managers mit aktualisierten runc raus.
 
  • Like
Reaktionen: alexhell

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.379
Punkte
174
@haydibe : (y) ...aber nach "Ich schätze es..." war ich draußen :ROFLMAO:
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
Gerade eine Mail bekommen.. Die haben nicht alle Latten am Zaun.
Schreiben, dass die CVE noch recht neu sind und noch nicht in deren Datenbank auftauchen.. Schicken mir ein Formular, wo ich die CVE eintragen soll mit allen Pi-Pa-Po. Das beste: Ich soll ein Wirksamkeitsnachweis (PoC) - ist sogar Pflichtfeld! schicken.
 
Zuletzt bearbeitet:
  • Wow
Reaktionen: haydibe und alexhell

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
Das ärgert mich gerade richtig.. Wenn mir so eine Sache auffällt, prüfe ich das entweder selbst (wenn das in mein Kompetenzbereich fällt) oder leite so etwas an das DevOp-Team weiter. Würde ein Kollege so etwas bringen, würde ich den mit dem Stock übers Feld jagen.
Dem Endkunden die Arbeit aufzubürden, finde ich ehrlich gesagt eine ziemliche Frechheit.

Das Formular habe ich als treuer Endkunde natürlich trotzdem ausgefüllt:
9FFxOOd.png
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
Ich erwarte eigentlich von einer Firma wie Synology, dass sie das schon längst wissen und auch an den Endkunden kommunizieren. Das ist das mindeste. Meine Meinung, dass ich mir nie wieder eine Synology NAS hole wird durch sowas immer mehr nur gefestigt. Die zwei die ich aktuell habe werden immer mehr nur zum Fileserver. Aktuell laufen da zwar noch 14 Docker Stacks, aber es werden keine neuen dazu kommen. Wird wahrscheinlich eher weniger werden.....
 

rustysponge

Benutzer
Mitglied seit
24. Sep 2019
Beiträge
14
Punkte für Reaktionen
6
Punkte
9
Du hast immerhin schon eine Antwort, ich warte bis jetzt immer noch auf eine Reaktion. ;-)
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
Mag daran liegen, dass sie mich schon kennen... 🤡
 
  • Haha
Reaktionen: rustysponge

xxxliquidsnake

Benutzer
Mitglied seit
20. Jul 2013
Beiträge
30
Punkte für Reaktionen
0
Punkte
6
@alexhell danke für den Post, war mir bis heute nicht klar, und bin gerade geschockt.

Btw: Kannst du mir mal bitte eine DM schicken, hab eine Private frage.

Danke
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat