package/runc: add upstream security fix for CVE-2019-5736
authorPeter Korsgaard <peter@korsgaard.com>
Tue, 12 Feb 2019 13:15:04 +0000 (14:15 +0100)
committerPeter Korsgaard <peter@korsgaard.com>
Tue, 12 Feb 2019 19:04:14 +0000 (20:04 +0100)
commit6e3f7fbc072c88ab344f2ffa39e402464b566f19
tree0952afe3de10b80f5692d649b75491304364543a
parent11c55c94da9a51f0448a1ae869065736993e1787
package/runc: add upstream security fix for CVE-2019-5736

The vulnerability allows a malicious container to (with minimal user
interaction) overwrite the host runc binary and thus gain root-level
code execution on the host. The level of user interaction is being able
to run any command (it doesn't matter if the command is not
attacker-controlled) as root within a container in either of these
contexts:

  * Creating a new container using an attacker-controlled image.
  * Attaching (docker exec) into an existing container which the
    attacker had previous write access to.

For more details, see the advisory:

https://www.openwall.com/lists/oss-security/2019/02/11/2

The fix for this issue uses fexecve(3), which isn't available on uClibc, so
add a dependency on !uclibc to runc and propagate to the reverse
dependencies (containerd/docker-engine).

Signed-off-by: Peter Korsgaard <peter@korsgaard.com>
package/docker-containerd/Config.in
package/docker-engine/Config.in
package/runc/0001-nsenter-clone-proc-self-exe-to-avoid-exposing-host-b.patch [new file with mode: 0644]
package/runc/Config.in