Docker excessive capabilities

Introduction

Les capacités sont des droits spécifiques accordés aux processus dans un système d'exploitation Linux. Elles déterminent ce qu'un processus peut faire et contrôler au sein du système. Voici quelques exemples:

  • CAP_SYS_ADMIN: Il s'agit d'une fonctionnalité fourre-tout, qui peut facilement conduire à des fonctionnalités supplémentaires ou à un accès root complet

  • CAP_SYS_MODULE: Permet d'ajouter ou enlever des modules kernel.

  • CAP_SYS_RAWIO: fournit un certain nombre d'opérations sensibles, notamment l'accès à /dev/mem, /dev/kmem ou /proc/kcore, la modification de mmap_min_addr, l'accès aux appels système ioperm et iopl et diverses commandes de disque.

  • CAP_NET_ADMIN: Permet de modifier le pare-feu, les tables de routage, les autorisations de socket, la configuration de l'interface réseau et d'autres paramètres associés des espaces de noms réseau exposés. Cela permet également d'activer le mode promiscuité pour les interfaces réseau connectées et, potentiellement, de surveiller les espaces de noms.

  • CAP_SYS_CHROOT: Permet d'utiliser chroot.

  • CAP_NET_RAW: Permet à un processus de créer des sockets de type RAW et PACKET pour les espaces de noms réseau disponibles. Cela permet la génération et la transmission de paquets arbitraires via les interfaces réseau exposées ce qui peut permettre de contourner la désactivation de la connectivité inter-conteneurs (ICC)

  • CAP_SYS_BOOT: Permet l'utilisation de la commande reboot, cette capacité permet également d'utiliser l'appel système kexec_load, qui charge un nouveau noyau de crash et à partir de Linux 3.17, le kexec_file_load qui charge également les noyaux signés.

  • CAP_SYSLOG: Fork dans Linux 2.6.37 à partir du catchall CAP_SYS_ADMIN, cette fonctionnalité permet au processus d'utiliser l'appel système syslog. Elle permet également au processus de visualiser les adresses du noyau exposées via /proc et d'autres interfaces lorsque /proc/sys/kernel/kptr_restrict est défini sur 1.

  • CAP_DAC_READ_SEARCH: Permet à un processus de contourner les autorisations de lecture de fichiers, de répertoires et d'exécution. Bien que conçu pour la recherche et la lecture de fichiers, il autorise également le processus à invoquer open_by_handle_at. Tout processus doté de la capacité CAP_DAC_READ_SEARCH peut utiliser open_by_handle_at pour accéder à n'importe quel fichier, même hors de son espace de noms de montage.

Exploitation

PrécédentDocker Misconfig & HardeningSuivantPentest Réseau

Mis à jour

Ce contenu vous a-t-il été utile ?