InfoQ Geekathon 大模型技术应用创新大赛 了解详情
写点什么

新近爆出的 runc 容器逃逸漏洞,用户如何面对?

  • 2020-04-23
  • 本文字数:1806 字

    阅读完需:约 6 分钟

新近爆出的runc容器逃逸漏洞,用户如何面对?

runc 是一个根据 OCI(Open Container Initiative)标准创建并运行容器的 CLI 工具,目前 Docker 引擎内部也是基于 runc 构建的。 2019 年 2 月 11 日,研究人员通过 oss-security 邮件列表(https://www.openwall.com/lists/oss-security/2019/02/11/2)披露了 runc 容器逃逸漏洞的详情,根据 OpenWall 的规定 EXP 会在 7 天后也就是 2019 年 2 月 18 日公开。


此漏洞允许 以 root 身份运行的容器以特权用户身份在主机上执行任意代码 。实际上,这意味着容器可能会破坏 Docker 主机(覆盖 Runc CLI),而所需要的只是能够使用 root 来运行容器。攻击者可以使用受感染的 Docker 镜像或对未受感染的正在运行的容器运行 exec 命令。针对此问题的已知缓解措施包括:


  • 使用只读主机文件系统运行

  • 运行用户命名空间

  • 不在容器中运行 root

  • 正确配置的 AppArmor / SELinux 策略(当前的默认策略不够)

Rancher 团队第一时间响应

收到披露邮件后,RancherOS 团队立刻尝试编写了攻击脚本,在一个普通容器中运行一个非常简单的脚本就完成了对主机的攻击,将主机上的 runc 替换成了其他程序。


漏洞披露后,Docker 在第一时间发布了 18.09.2,用户可升级到此版本以修复该漏洞。Rancher Labs 研发团队同样第一时间响应,发布了 Rancher v2.1.6、v2.0.11 和 v1.6.26,这三个 新版本 Rancher 支持 Docker 刚刚发布的 18.09.2 ,Rancher 用户可以升级 Docker 版本以防止被该安全漏洞影响。

无法升级 Docker 版本怎么办

通常由于各种因素,很多用户的生产环境并不容易升级太新的 Docker 版本。


为了帮助无法按照 Docker 官方建议升级至最新版 Docker 18.09.2 的用户解决此次问题, Rancher Labs 团队更进一步,已经将修复程序反向移植到所有版本的 Docker ,为 Docker 1.12.6、1.13.1、17.03.2、17.06.2、17.09.1、18.03.1 和 18.06.1 提供补丁,修复这次漏洞!相关修补程序以及安装说明,请参考:


https://github.com/rancher/runc-cve

RancherOS 的更新:v1.5.1 和 v1.4.3

RancherOS 作为一款容器化操作系统,其中很多组件依赖 runc,我们也在第一时间更新了补丁并发布了 v1.5.1 和 v1.4.3 两个版本。


RancherOS 的核心部件 system-docker 和 user-docker 都依赖 runc,所以 v1.5.1 和 v1.4.3 都对他们进行了更新。而针对 user-docker,RancherOS 可以切换各种版本的 docker engine, 所以我们对以下 docker engine 都进行了反向移植:


v1.12.6/v1.13.1/v17.03.2/v17.06.2/v17.09.1/v17.12.1/v18.03.1/v18.06.1


如果是默认安装 v1.5.1 或 v1.4.3,补丁程序已经是内置的,你无需任何操作就可以避免该漏洞。如果你希望使用早期的 docker 版本,那么切换 user-docker 时,请使用上面提到的补丁修复版本:



同时 v1.5.1 版本也是支持 docker 18.09.2,你可以切换到该版本,如果你考虑使用 Docker 官方的修复版本,只需简单运行: ros engine switch docker-18.09.2。


我们推荐您使用最新的 RancherOS v1.5.1 版本,该除了修复 CVE-2019-5736 漏洞外还支持其他新特性以及一些 Bug Fix。当然,因为仍然有很多用户在使用 1.4.x 版本,所以我们也发布了 v1.4.3, 它只修复了 runc 漏洞,没有其他额外的更新。


AWS 相关镜像已经上传到各个 region 中,可以直接搜索查找并使用,包括 AWS 中国区。其他主要镜像列表参考:


https://github.com/rancher/os/blob/v1.5.x/README.md#release


更多新特性和 Bug Fix 请参考 v1.5.1 的 Release Notes:


https://github.com/rancher/os/releases/tag/v1.5.1


文档说明:


https://rancher.com/docs/os/v1.x/en/


RancherOS 专注于 Docker 在 Linux 上的精简体验,它还是一个小众的开源项目,欢迎您下载使用并给 RancherOS 团队提供更多反馈。 同时,Github 上的 Star 也是鼓励我们继续前行的精神动力喔~

初心不忘,为用户的 Docker & K8S 之旅护航

Rancher Kubernetes 平台拥有着超过一亿次下载量,我们深知 安全问题 对于用户而言的重要性,更遑论那些通过 Rancher 平台在 生产环境 中运行 Docker 及 Kubernetes 的 数千万用户


2018 年年底 Kubernetes 被爆出的首个严重安全漏洞CVE-2018-1002105,就是由 Rancher Labs 联合创始人及首席架构师 Darren Shepherd 发现的。


2019 年 1 月 Kubernetes 被爆出仪表盘和外部IP代理安全漏洞时,Rancher Labs 也是第一时间向用户响应,确保所有 Rancher 2.x 和 1.6.x 的用户都完全不被漏洞影响。


未来,Rancher 也将一如既往陪伴与支持在用户的 K8S 之路左右❤️


活动推荐:

2023年9月3-5日,「QCon全球软件开发大会·北京站」 将在北京•富力万丽酒店举办。此次大会以「启航·AIGC软件工程变革」为主题,策划了大前端融合提效、大模型应用落地、面向 AI 的存储、AIGC 浪潮下的研发效能提升、LLMOps、异构算力、微服务架构治理、业务安全技术、构建未来软件的编程语言、FinOps 等近30个精彩专题。咨询购票可联系票务经理 18514549229(微信同手机号)。

2020-04-23 17:23529

评论

发布
暂无评论
发现更多内容

SRE方法论之服务质量目标

不思jo

SRE

亚信科技AntDB数据库连年入选《中国DBMS市场指南》代表厂商

亚信AntDB数据库

数据库 AntDB AntDB数据库 企业号 8 月 PK 榜

报名开启 | HarmonyOS第一课“营”在暑期系列直播

HarmonyOS开发者

HarmonyOS

备份或同步数据?跨国大文件传输的不同需求与解决方案

镭速

大文件传输 跨国文件传输

小米交卷大模型,全新小爱同学实测来了

Openlab_cosmoplat

小米 大模型 小爱同学

CAD设计软件autocad 2024下载 autocad 2024安装方法

mac

AutoCAD 2024 苹果mac Windows软件 CAD设计软件

九科信息成功签约中交财资管理(香港)有限公司-境外银行账户可视化管控流程自动化系统项目

九科Ninetech

拯救开源:《网络韧性法案》即将带来的悲剧

开源雨林

开源 LICENSE

低代码系列——初步认识低代码

互联网工科生

软件开发 低代码 JNPF

技术分享| WebRTC之SDP详解

anyRTC开发者

WebRTC RTC sdp

科技前沿的助力:探索语音标注平台的奇迹

来自四九城儿

生成式AI:人工智能新范式,引领生产力革命

百度开发者中心

#人工智能 文心一言

让企业内部开发游刃有余,平台工程到底是什么?

树上有只程序猿

DevOps 软件开发 平台工程

RocketMQ 5.0 架构解析:如何基于云原生架构支撑多元化场景

阿里巴巴云原生

阿里云 RocketMQ 云原生

画质提升+带宽优化,小红书音视频团队端云结合超分落地实践

小红书技术REDtech

音视频 小红书

揭秘!CIPU最新秘密武器–弹性RDMA的技术解析与实践

阿里云弹性计算

MySQL的Json类型字段IN查询分组和优化方法

北桥苏

MySQL SQL优化 虚拟字段

Spring高手之路12——BeanDefinitionRegistry与BeanDefinition合并解析

砖业洋__

spring BeanDefinition BeanDefinitionRegistry BeanDefinition合并

​Kubernetes的演变:从etcd到分布式SQL的过渡

互联网工科生

Kubernetes etcd 部署

手把手带你玩转HetuEngine:资源规划与数据源对接

华为云开发者联盟

大数据 后端 华为云 华为云开发者联盟 企业号 8 月 PK 榜

和鲸 ModelWhale 与中科可控多款服务器完成适配认证,赋能中国云生态

ModelWhale

云原生 服务器 信创

REST 内容协商详解:理论解读与实际应用指南

Liam

程序员 前端 后端 web开发 RESTful API

开发者不需要成为 K8s 专家!!!

北京好雨科技有限公司

Kubernetes 开发者 PaaS #云原生

开放网关架构演进

阿里技术

网关 开放网关

Capture One Pro 22 for Mac(RAW图像处理软件) v15.4.2.12中文版

mac

Raw图像处理软件 苹果mac Windows软件下载 Capture One Pro 22

关于云原生开源开发者沙龙「微服务X消息队列专场」的延期通知

阿里巴巴云原生

阿里云 微服务 云原生 消息队列

华秋硬创联合安创加速器,加速和创新赋能技术驱动型创业者

华秋电子

创业

中路对线发现正在攻防演练中投毒的红队大佬

墨菲安全

网络安全 npm 投毒 投毒分析

解决跨时区跨语言的国外大文件传输问题

镭速

跨国传输大文件 传输大文件 国外大文件传输

生成式AI技术:引领未来内容创作

百度开发者中心

物联网, 云计算, 文心一言 人工智能、

介绍一下我们的开源“充电之旅” - 两位新晋 Apache Flink Committer 专访

字节跳动云原生计算

flink 开源 字节跳动 流式计算

  • 扫码添加小助手
    领取最新资料包
新近爆出的runc容器逃逸漏洞,用户如何面对?_文化 & 方法_Rancher_InfoQ精选文章