写点什么

runc 容器逃逸漏洞最强后续:应对之策汇总与热点疑问解答

  • 2020-04-23
  • 本文字数:2654 字

    阅读完需:约 9 分钟

runc容器逃逸漏洞最强后续:应对之策汇总与热点疑问解答

美国时间 2019 年 2 月 11 日晚,runc 通过 oss-security 邮件列表披露了 runc 容器逃逸漏洞 CVE-2019-5736 的详情。runc 是 Docker、CRI-O、Containerd、Kubernetes 等底层的容器运行时,此次安全漏洞无可避免地会影响大多数 Docker 与 Kubernetes 用户,也因此为整个业界高度关注。


漏洞披露后,Docker 在第一时间发布了两个版本 18.06.2 和 18.09.2,这两个版本都可以修复 runc 漏洞。Rancher Labs 极速响应,Rancher Kubernetes 管理平台和 RancherOS 操作系统均在 不到一天时间内 紧急更新,是业界 第一个紧急发布新版本支持 Docker 补丁版本的平台 ,并持严谨态度在 oss-security 邮件列表披露漏洞后的 五小时内连夜邮件通知 所有 Rancher 用户此次漏洞的详情及应对之策。


更值得一提的是,尽管 Docker 发布了修复版本,但因为不是所有用户都能轻易将生产环境中的 Docker 版本升至最新, Rancher 帮忙将修复程序反向移植到所有版本的 Docker 并提供给用户。且目前 Docker 官方提供的修复版本并不支持 3.x 内核(只兼容 4.x 内核),而 runc 的开发者特意向 Rancher 提交了支持 3.x 内核的 PR,目前 PR 已合并,Rancher 提供的方案现已可以支持 3.x 内核。


runc 安全漏洞事件背景

runc 是一个根据 OCI(Open Container Initiative)标准创建并运行容器的 CLI tool,目前 Docker 引擎内部也是基于 runc 构建的。2019 年 2 月 11 日,研究人员通过 oss-security 邮件列表披露了 runc 容器逃逸漏洞的详情,根据 OpenWall 的规定 EXP 会在 7 天后也就是 2019 年 2 月 18 日公开。


此漏洞允许以 root 身份运行的容器以特权用户身份在主机上执行任意代码。 这意味着容器可能会破坏 Docker 主机(覆盖 Runc CLI),而所需要的只是能够使用 root 来运行容器。攻击者可以使用受感染的 Docker 镜像或对未受感染的正在运行的容器运行 exec 命令。



Rancher 在 12 号当天已通过公众号文章详细分析了漏洞详情和用户的应对之策。相信目前大部分用户已经对漏洞已经有了初步的了解,甚至在 Github 上已经有人提交了 EXP 代码。Rancher 在第一时间完成了补丁修复,并向企业用户推送的修复方案。同时在我们也收到了大量来自社区用户在后台的提问,为了疏解种种谜团,这篇后续文章,我们将选取大家重点关注的一些热点疑问进行进一步的解答。

热点问题

非特权容器也能发起攻击吗?

答案是 肯定的 ,Rancher 安全团队在第一时间做了一些测试,即使运行容器时不使用 privileged 参数,一样可以发起攻击。因为这个漏洞核心要素在于,容器内的用户是否对 runc 有访问权限, 容器内默认是 root 用户,只是这个 root 是受限制的 root,但是它是具有对 runc 的访问权限,所以一定可以发起攻击。

主机上不用 root 用户启动容器可以避免攻击吗?

答案是 无法避免 ,如上一个问题分析,它和容器内的用户有关,至于在主机上以什么用户启动无关。Rancher 安全团队在 Ubuntu 系统上做了测试,即使使用 ubuntu 用户启动容器, 依然可以完成对 runc 的替换。

更新官方 Docker 的注意事项

Docker 也在第一时间发布了两个版本 18.06.2 和 18.09.2,这两个版本都可以修复 runc 漏洞,但是你需要注意的是他们都 只兼容 4.x 内核 ,如果你的系统依然使用的 3.x 内核, 请谨慎使用,因为它基本不会起作用,甚至可能导致额外的问题。


Ubuntu 14.04 customers using a 3.13 kernel will need to upgrade to a supported Ubuntu 4.x kernel


参考两个版本的 RN:


Kubernetes 用户怎么办?

使用 K8s 的用户都很清楚,K8s 并不能兼容太高的 Docker 版本,所以更新官方 Docker 版本是很难的一件事,为此 K8s 官方特意发表了一篇 Blog:https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/ 。 主要思想就是,不要在容器中使用 root,它推荐的方案是使用 PodSecurityPolicy。当然很多用户修改 PodSecurityPolicy 后可能会引发各种问题,所以它也推荐用户更新 Docker。 同时它也提到,不能更新 Docker 的用户,可以使用 Rancher 提供的方案,Rancher 为每个版本都移植了补丁:


If you are unable to upgrade Docker, the Rancher team has provided backports of the fix for many older versions at github.com/rancher/runc-cve.


如何使用 Rancher 提供的补丁?

如上一个问题提到的,用户可以直接访问https://github.com/rancher/runc-cve 来获取方案,值得一提的是 Rancher 为 3.x 和 4.x 内核用户都提供了补丁版本。


To install, find the runc for you docker version, for example Docker 17.06.2 for amd64 will be runc-v17.06.2-amd64.

For Linux 3.x kernels use the binaries that end with no-memfd_create. Then replace the docker-runc on your host with the patched one.

如何正确使用 EXP?

首先不建议大家广泛传播 EXP,因为它每暴露一次,就为整体环境增加了一丝风险,我们可以研究学习但是不要恶意传播。 我们在后台看到有些人问到,他们使用了某些 EXP 代码,攻击没有成功,想知道是不是自己的系统是安全的,不用考虑升级。 Rancher 安全团队也查看了一些外部公开的 EXP,有些 EXP 是不完整的,它可能只能在某些环境上起作用。 比如利用 libseccomp 的 EXP,就无法在静态编译的 runc 上起作用,我们使用了一些公开的 EXP 就无法在 RancherOS 上完成攻击。 虽然不同版本的 Docker 都使用 runc,但是不同的操作系统使用 runc 的方式不同,有的使用 static runc,有的使用 dynamic runc。 所以不能以某些公开的 EXP 的执行结果为标准,来判断自己系统是否存在漏洞。

守护用户的 K8S 之路

Rancher Kubernetes 平台拥有着超过一亿次下载量,我们深知安全问题对于用户而言的重要性,更遑论那些通过 Rancher 平台在生产环境中运行 Docker 及 Kubernetes 的数千万用户。


2018 年年底 Kubernetes 被爆出的首个严重安全漏洞CVE-2018-1002105,就是由 Rancher Labs 联合创始人及首席架构师 Darren Shepherd 发现的。


2019 年 1 月Kubernetes被爆出仪表盘和外部IP代理安全漏洞时,Rancher Labs 也是第一时间向用户响应,确保了所有 Rancher 2.x 和 1.6.x 的用户都完全不被漏洞影响。


负责、可靠、快速响应、以用户为中心,是 Rancher 始终不变的初心;在每一次业界出现问题时,严谨踏实为用户提供相应的应对之策,也是 Rancher 一如既往的行事之道。未来,Rancher 也将一如既往支持与守护在用户的 K8S 之路左右,确保大家安全、稳妥、无虞地继续前进❤️


2020-04-23 17:23655

评论

发布
暂无评论
发现更多内容

高成长、高潜力,火线安全入选2021中国新锐技术先锋企业20强!

火线安全

大数据开发之Hadoop高频面试题

@零度

大数据 hadoop

全面容器化之后,来电科技如何实现微服务治理?

阿里巴巴云原生

阿里云 微服务 云原生 实践

企业聊天APP-有什么作用,可以带来哪些便利?WorkPlus即时通讯

BeeWorks

趋势:2022 年 AI 五大预测

BeeWorks

拍乐云首发音视频「分组讨论」开放能力,开启线上群聊互动新玩法

拍乐云Pano

音视频 RTC 视频会议 泛娱乐 分组讨论

实现分区表性能提升超10倍,解密TDSQL PG版开源升级特性

腾讯云数据库

tdsql 国产数据库

使用Amazon CDK部署基于Amazon Fargate的高可用、易扩展的Airflow集群

亚马逊云科技 (Amazon Web Services)

计算

【Redis集群原理专题】分析一下相关的Redis服务分片技术和Hash Tag

洛神灬殇

redis redis cluster redis架构 1月月更

Mybatis如何执行批量操作

编程江湖

mybatis

理清逻辑,确保云原生时代应用开发的全生命周期安全

华为云开发者联盟

网络安全 安全 应用开发 安全防守

云原生+国产化,腾讯云数据库不做选择题

腾讯云数据库

tdsql 国产数据库

青藤成功举办“ATT&CK应用发展论坛”,并发布《ATT&CK框架实践指南》

青藤云安全

无服务器应用DevOps最新实践(内附完整演讲+视频)

亚马逊云科技 (Amazon Web Services)

计算

针对jQuery的优化方法有哪些

编程江湖

jquery

隐喻回顾会

Bruce Talk

敏捷 Agile 回顾会 Coach/Facilitate

知识中台,驱动产业智能化升级

百度大脑

人工智能

前端开发之VUE基础面试题分享

@零度

Vue 前端开发

建议收藏 | SpringBoot 元数据配置原来可以这么玩!

李尚智

spring springboot SpringBoot 2 java 编程 1月月更

Linux之du命令

入门小站

Linux

选择“难而正确”的道路,国内VPN距离突破瓶颈还有多远?

科技热闻

增效降本开源节流,2022年技术趋势前瞻(异步编程/容器技术)

刘悦的技术博客

容器 性能 异步IO 异步削峰 成本优化

技术解析 | 即构移动端超分辨率技术

ZEGO即构

计算机视觉 音视频 视频超分

腾讯云TDSQL在PostgreSQL领域的‘‘再次突破’’

腾讯云数据库

tdsql 国产数据库

Tomcat系统架构分析-Service

编程江湖

tomcat

TDengine在蓝深远望电机物联网监测预警与预测性维护平台中的应用

TDengine

数据库 大数据 tdengine 物联网

4种高速安全混合云解决方案,助力您的云迁移之旅!

亚马逊云科技 (Amazon Web Services)

计算

🍃【Spring专题】「技术原理」为大家介绍一下Spring中的Ant路径匹配工具组件AntPathMatcher

洛神灬殇

spring 1月月更 SpringFramework AntPathMatcher

开源数据库TDSQL PG版再升级:分区表性能提升超10倍

腾讯云数据库

tdsql 国产数据库

使用CRM系统改善客户关系的方法

低代码小观

企业管理 CRM ERP CRM系统 企业管理工具

在线正则表达式可视化测试工具

入门小站

工具

runc容器逃逸漏洞最强后续:应对之策汇总与热点疑问解答_文化 & 方法_Rancher_InfoQ精选文章