【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

刚刚,才云发布 runc 容器逃逸漏洞预警

  • 2020-03-03
  • 本文字数:922 字

    阅读完需:约 3 分钟

刚刚,才云发布 runc 容器逃逸漏洞预警


2019 年 2 月 11 日,runc 维护者在 oss-security 邮件列表披露 runc 安全漏洞详情。该漏洞允许恶意用户覆写宿主机上的 runc 二进制文件,并获得宿主机的 root 权限,其恶劣影响波及 Docker, containerd, cri-o 等使用了 runc 的容器运行时。

漏洞详情

此次漏洞的编号为 CVE-2019-5736,它的出现源于运行容器时 runc 处理系统文件描述符的方式存在缺陷。攻击者可以使用指向 runc 二进制文件本身的自定义二进制文件替换容器内的目标二进制文件来完成攻击。


恶意容器可以通过此漏洞覆盖 host 上的 runc 二进制文件,从而在 host 上获取 root 访问权限,进而执行任意攻击代码。攻击代码采取的攻击方式有两种:


  • 使用攻击者控制的镜像创建新容器;

  • 进入到攻击者之前具有写入权限的容器中(docker exec)。

影响范围

目前,Docker 发布的 v18.09.2 已经修复了此漏洞,runc 还未发布包含漏洞修复补丁的新版本。因此 Docker 版本低于 18.09.2 及 runc 版本不高于 1.0.0-rc6 的环境都在影响范围内。

解决方案

截至目前,该问题的最佳解决方法是把 Docker 升级到 18.09.2 或以上版本。由于 runc 新版本尚未发布,如果要单独升级 runc,用户需要自行编译。


缓解办法:


  • 启用 selinux 规则,防止容器内的进程覆盖主机 runc 二进制文件;

  • Host 使用只读文件系统,或至少 runc 文件位置只读;

  • 在容器内使用低权限用户,或将容器内 uid0 用户映射到 host 的普通用户(没有 runc 访问权限的用户)。

漏洞对 Caicloud Compass 的影响

考虑到 runc 的流行度,这个漏洞对容器的影响是普遍的。


该漏洞只需要较小的权限(host runc 的权限)即可完成攻击。默认情况下,容器内进程都是以 root 权限运行的,如果没有做用户 ID 映射,就会对 host 上的 runc 二进制文件有所有权限,因此都会受到该漏洞的影响。


面对这个安全隐患,才云 Caicloud 将从以下三方面为用户提供帮助:


  • 对于在生产环境使用 Caicloud Compass 的用户,才云 Caicloud 工程师团队可以协助完成 Docker 升级;

  • 对于新发布的 Caicloud Compass 2.7.3 版本,我们会通过热补丁修复这个漏洞;

  • 在下个版本中,Caicloud Compass 也会使用 18.09.2 或以上版本的 Docker。


本文转载自才云 Caicloud 公众号。


原文链接:https://mp.weixin.qq.com/s/PxvXCj6cfLslzRlV3mlSYw


2020-03-03 17:29514

评论

发布
暂无评论
发现更多内容

基于 docker-compose 部署单机版本 ELK

忙着长大#

ELK

非一线工程管理者的一对一沟通

俞凡

领导力 管理

Compose把Text组件玩出新高度

Halifax

android 前端 kotlin Compose android jetpack

工赋开发者社区 | 架构瓶颈原则:用注意力probe估计神经网络组件提供多少句法信息

工赋开发者社区

微信朋友圈高性能复杂度

闲人Eric

架构实战营

啃透这500页高并发笔记薪资涨了20K,并连收天猫,京东等5个Offer

钟奕礼

Java 程序员 java面试 java 编程

聊聊最适合程序员的一些画图工具?

程序员小毕

程序员 程序人生 后端 架构师 画图工具

架构实战 - 模块 2 作业

mm

微信朋友圈 #架构实战营

面试官:断网了,还能 ping 通 127.0.0.1 吗?

Java全栈架构师

程序员 面试 程序人生 后端 计算机网络

架构训练营作业-模块2

张建闯

架构实战营

流处理基础概念-窗口与时间

穿过生命散发芬芳

流处理 12月月更

通过假设地图进行产品待办列表排序

Bruce Talk

Agile User Story Product Owner 敏捷、

从德鲁克管理实践看服务化架构

agnostic

微服务

浅谈如何在小红书和知乎两大平台做好引流推广

石头IT视角

网络编程与通信原理

Java 架构

2022-12-11:行程和用户。以下为输出结果,请问sql语句如何写? +------------+-------------------+ | Day | Cancellation

福大大架构师每日一题

数据库 福大大

开始用ChatGPT写作

SkyFire

ChatGPT

小令案例 | 互联网消费分期产品引入令牌云服务,大幅提升进件转化

令牌云数字身份

身份认证 分布式数字身份 成功案例

工赋开发者社区 | 65页数字化工厂规划与建设详细方案 !

工赋开发者社区

HarmonyOS玩转ArkUI动效 - 水母动画

Halifax

前端 动画 HarmonyOS OpenHarmony arkui

云与开源,共植数字世界的根

Apache Flink

大数据 flink 实时计算

MacBook免费的电脑管家CleanMyMac2023

茶色酒

CleanMyMac CleanMyMac X

关于ChatGPT的一切;CUDA入门之矩阵乘;PyTorch 2.0发布|AI系统前沿动态

OneFlow

人工智能 深度学习 AI

分布式锁主动续期的入门级实现-自省 | 简约而不简单

小小怪下士

Java 程序员 分布式 分布式锁

学习编程必须知道的三个网站

邱比特讲编程

GitHub 编程 Google Stack Overflow 编程工具

别研究 ChatGPT 了,来看个国产好项目!

Java永远的神

程序员 程序人生 后端 架构师 开源项目

字节大神熬夜整理MyBatis+Redis+Kafka+spring源码与实战技术齐飞

钟奕礼

Java java编程 程序员、

灵魂拷问,你真的了解DNS吗?

蔡农曰

互联网 前端 后端 计算机网络

极客时间运维进阶训练营第七周作业

老曹

Verilog 的连续赋值

攻城狮Wayne

Verilog Verilog语法 连续赋值

元宇宙之数字孪生 孪数科技-企业元宇宙引领者

Jerry Tan

刚刚,才云发布 runc 容器逃逸漏洞预警_行业深度_才云科技_InfoQ精选文章