写点什么

刚刚,才云发布 runc 容器逃逸漏洞预警

  • 2020-03-03
  • 本文字数:922 字

    阅读完需:约 3 分钟

刚刚,才云发布 runc 容器逃逸漏洞预警


2019 年 2 月 11 日,runc 维护者在 oss-security 邮件列表披露 runc 安全漏洞详情。该漏洞允许恶意用户覆写宿主机上的 runc 二进制文件,并获得宿主机的 root 权限,其恶劣影响波及 Docker, containerd, cri-o 等使用了 runc 的容器运行时。

漏洞详情

此次漏洞的编号为 CVE-2019-5736,它的出现源于运行容器时 runc 处理系统文件描述符的方式存在缺陷。攻击者可以使用指向 runc 二进制文件本身的自定义二进制文件替换容器内的目标二进制文件来完成攻击。


恶意容器可以通过此漏洞覆盖 host 上的 runc 二进制文件,从而在 host 上获取 root 访问权限,进而执行任意攻击代码。攻击代码采取的攻击方式有两种:


  • 使用攻击者控制的镜像创建新容器;

  • 进入到攻击者之前具有写入权限的容器中(docker exec)。

影响范围

目前,Docker 发布的 v18.09.2 已经修复了此漏洞,runc 还未发布包含漏洞修复补丁的新版本。因此 Docker 版本低于 18.09.2 及 runc 版本不高于 1.0.0-rc6 的环境都在影响范围内。

解决方案

截至目前,该问题的最佳解决方法是把 Docker 升级到 18.09.2 或以上版本。由于 runc 新版本尚未发布,如果要单独升级 runc,用户需要自行编译。


缓解办法:


  • 启用 selinux 规则,防止容器内的进程覆盖主机 runc 二进制文件;

  • Host 使用只读文件系统,或至少 runc 文件位置只读;

  • 在容器内使用低权限用户,或将容器内 uid0 用户映射到 host 的普通用户(没有 runc 访问权限的用户)。

漏洞对 Caicloud Compass 的影响

考虑到 runc 的流行度,这个漏洞对容器的影响是普遍的。


该漏洞只需要较小的权限(host runc 的权限)即可完成攻击。默认情况下,容器内进程都是以 root 权限运行的,如果没有做用户 ID 映射,就会对 host 上的 runc 二进制文件有所有权限,因此都会受到该漏洞的影响。


面对这个安全隐患,才云 Caicloud 将从以下三方面为用户提供帮助:


  • 对于在生产环境使用 Caicloud Compass 的用户,才云 Caicloud 工程师团队可以协助完成 Docker 升级;

  • 对于新发布的 Caicloud Compass 2.7.3 版本,我们会通过热补丁修复这个漏洞;

  • 在下个版本中,Caicloud Compass 也会使用 18.09.2 或以上版本的 Docker。


本文转载自才云 Caicloud 公众号。


原文链接:https://mp.weixin.qq.com/s/PxvXCj6cfLslzRlV3mlSYw


2020-03-03 17:29737

评论

发布
暂无评论
发现更多内容

需要深入的技术领域,方向正确是成功的关键

杨明越

Vue3源码 | 深入理解响应式系统上篇-reactive

梁龙先森

大前端 Vue3 源码解析

Wireshark数据包分析学习笔记Day4

穿过生命散发芬芳

Wireshark 数据包分析 3月日更

【自动化】Day01

IT蜗壳

浅谈微服务架构

跳蚤

《撬动星球的头部效应-绝非偶然》读书笔记

SilentMacUser

极客时间 读书笔记 产品经理 知识星球 极客大学产品经理训练营

浅淡python中with的用法,上下文管理器

极客新人

人生如戏,戏如人生——敏捷剧本杀玩后感

Bruce Talk

敏捷 Agile

Centos7 systemctl 启动Java应用

黄敏

Java Linux Centos 7 部署

产品经理是个很务虚的岗位吗?

涛哥 数字产品和业务架构

产品经理

第一章-认识产品经理作业

阿珍爱上阿强

产品经理 JD 财务

Docker 教程(一):Docker 是什么

看山

Docker DevOps

Dubbo 进行一次微服务调用的时序图

跳蚤

一个程序员应怀揣武侠梦

吴脑的键客

程序员

SICP 习题解答 1.7

十元

android面试!Android事件体系全面总结+实践分析,大牛最佳总结

欢喜学安卓

android 程序员 面试 移动开发

laravel的生命周期

一个大红包

28天写作 3月日更

Hbase详解

Fong

大数据 运维 概念

中台建设落地浅谈

Man

中台 数字化转型

设计模式的5个常见问题及解决办法

乐天

设计模式

Android入门你值得拥有!手持4个大厂offer的我,附面试题答案

欢喜学安卓

android 程序员 面试 移动开发

恋物志(三):“美丽到牙齿”的智能硬件圈地运动

脑极体

SpringBoot启用HTTPS

黄敏

jdk https openssh springboot

HBase分布式部署

Fong

大数据 运维 部署

开课啦基于 dubbo-go 的服务端技术升级实战

apache/dubbo-go

微服务 云原生 dubbo dubbo-go dubbogo

第五次作业&总结

青葵

学习

SICP 习题解答 1.8

十元

微服务实践之分布式定时任务

万俊峰Kevin

微服务 定时任务 延迟任务 Go 语言

ARTS - week 1

steve_lee

SICP 习题解答 1.9

十元

学大数据应该怎么入门--大数据学习之路

大数据技术指南

大数据 3月日更

刚刚,才云发布 runc 容器逃逸漏洞预警_行业深度_才云科技_InfoQ精选文章