Sicherheitslücke Kernel cve-2020-14386

[TheMrg]

Ist die Lücke problematisch für
a) LXC Container
b) KVM VMs
?

Nicht, dass damit ein Container aus der VM ausbrechen kann.

 

[Stoiko Ivanov]

Ist die Lücke problematisch für
a) LXC Container
b) KVM VMs
?

Auf den ersten blick koennte es zu einer privilege escalation aus einem unprivilegierten Container kommen - siehe https://www.openwall.com/lists/oss-security/2020/09/03/3

ein neues Kernel-paket, dass einen Patch für die CVE hat ist bereits auf pvetest verfügbar:
https://pve.proxmox.com/wiki/Package_Repositories#sysadmin_test_repo
pve-kernel-5.4.60-1-pve: 5.4.60-2

 

[TheMrg]

Danke. Upgrades sind im Moment sehr schwer (Gründe erstmal egal). Daher müssen wir wissen, ob ein Ausbruch aus einem unpriv LXC möglich ist.

 

[TheMrg]

Eine Mitigation ist es:
sysctl kernel.unprivileged_userns_clone=0

https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-14386.html

default im Proxmox ist wohl sysctl kernel.unprivileged_userns_clone=1
Können wir den sysctl kernel.unprivileged_userns_clone=0 "relativ" bedenkenlos setzen?

 

[Sralityhe]

ein neues Kernel-paket, dass einen Patch für die CVE hat ist bereits auf pvetest verfügbar:
https://pve.proxmox.com/wiki/Package_Repositories#sysadmin_test_repo
pve-kernel-5.4.60-1-pve: 5.4.60-2

Hi,

das ist klasse!

Eine Bitte: wäre es möglich dass ihr bei sowas die entsprechende CVE im changelog erwähnt? Ich hatte mir die changelog durchgelesen und explizit nach einem Patch für die CVE gesucht, aktuell steht dort zwar etwas zu raw packet sockets, hätte ich mir also wohl denken können, aber zur *bersicht wäre es toll dahinter in Klammern nochmal die CVE zu sehen.

Danke!

 

[TheMrg]

Ist die Lücke nun für LXC Container problematisch? Kann jemand aus einem Container damit ausbrechen?
Welche Workarounds ?

Vielen Dank.