写点什么

云原生生态周报 Vol. 7 | Docker 再爆 CVE

  • 2019-06-12
  • 本文字数:2378 字

    阅读完需:约 8 分钟

云原生生态周报 Vol. 7 | Docker 再爆 CVE

前言

《云原生生态周报》由阿里云容器平台联合蚂蚁金服共同发布,每周一期。众多一线社区专家与您一起“跟踪动态,读懂社区”,分享云原生社区项目进展、活动发布、精选博客等信息。以下是第七期云原生生态周报的内容。

业界要闻

  1. Docker 基础镜像 Alpine 爆出提权漏洞(CVE-2019-5021):该 CVE 影响自 Alpine Linux 3.3 版本开始的所有 Docker 镜像。该漏洞的机制在于 Alpine 的 root 用户包含一个空密码,这可能会导致攻击者获得 root 权限,进而造成攻击。

  2. 报告中称:受影响范围是 Alpine Linux Docker 镜像 3.3、3.4、3.5、3.6、3.7、3.8、3.9、edge 等全部版本。目前,整个容器技术生态中很多项目的基础镜像层都在采用 Alpine。在漏洞披露后,Alpine 最新版已经修复了该问题,用户可以使用 3.9.4 版本来规避风险。这里也可以参考一些开源项目更换其他基础镜像,例如 kubernetes-csi 项目的这个PR

  3. Docker 项目本身爆出严重漏洞,攻击者可以直接访问宿主机文件系统CVE-2018-15664): 5 月 29 日,来自 SUSE 的 Linux 工程师 Aleksa Sarai 汇报了这个漏洞。他指出,在某些情况下,攻击者可以在 docker cp 进行文件路径解析和执行文件操作之间的短时间窗口将自己的符号链接(symlink)插入到路径中,从而在容器中以 root 的身份直接拿到宿主机文件的符号链接,在 docker cp 的场景下,这等同于直接拿到了宿主机任意文件的读写权限。可以看到,这个漏洞是 TOCTOU 攻击的一个典型变体,利用了 Linux 操作文件时候的竞争状态(race condition)。虽然它有可能影响所有 Docker 版本, Docker 官方出台了补丁计划,会在后续版本包含相应修复补丁。此次漏洞的攻击前提是攻击者拥有 docker cp 命令的使用权限,阿里云容器服务集群默认开启了基于 RBAC 的访问控制,非法用户是没有 cp 命令在容器内的访问权限的。作为用户,最安全的方法是禁止在多租环境下启用 docker cp 操作,并且将 Docker Daemon 通过 apparmor 等手段进行限制。万幸的是,这个漏洞的利用方法是非常复杂的,需要构造出上述文件竞态才能产生作用。更多详细内容,请参见阿里专家的CVE-2018-15664漏洞分析报告

上游重要进展

  1. Kubernetes 从 v1.15 开始将采用 go module 来进行包管理相比于原来的 Godeps,go module 在打包、编译等多个环节上有着明显的速度优势,并且能够在任意操作系统上方便的复现依赖包。更重要的是,go module 本身的设计使得 Kubernetes 自身被其他项目引用变得更加容易,这也是 Kubernetes 项目向框架化演进的又一个重要体现。

  2. Envoy正在Redis Proxy中实现request mirror功能,用于对请求做镜像。该功能可以指定只对固定百分比的流量做镜像,且可以将 read 相关的请求给过滤掉。

  3. Envoy正增加路由debug的功能。通过这一功能,可掌握所发起的一个调用能否正常地路由出去,以及路由到了哪个集群。虽然社区已经提供了 route table checker 这一工具,但该工具只能用于检查静态路由,对于通过 xDS 下发的动态路由则无能为力,路由 debug 功能正是瞄准动态路由的。

  4. Knative 社区正在探索 stateful-serverless,实验性项目由 lightbend 公司开发(著名产品 akka),期望在 knative 中建立一个有状态的服务,主要依赖 akka cluster 加一个持久化的数据库,可以将请求分配给固定的容器。演示视频:演示了一个计数器服务,另附 KubeCon 上的演讲视频

  5. Eventing Security Requirements: 针对事件在数据平面的安全性的需求,knative 提出了概要设计,主要定义事件处理的 3 个安全策略边界及对应的安全策略:


  • 事件提供者到事件源(Event Source), 通过身份认证及授权

  • 事件流量入口(Ingress)到 Broker,通过 Token 与 Broker 进行认证。

  • Trigger 到消费服务。由消费服务(函数)对持有 Token 的 Trigger 进行认证。


  1. Istio 将结束对 1.0 版本的支持,请尽快升级:根据 Istio 社区的支持政策,在最新 LTS 发布后的三个月内,会继续支持上一个 LTS 版本。Istio 1.1 于 3 月 19 日发布,因此社区对 1.0 的支持将于 2019 年 6 月 19 日结束。此后,将停止在 1.0 版本中支持安全问题和关键错误的修复,因此建议用户尽快升级到最新版本的 Istio。https://istio.io/blog/2019/announcing-1.0-eol/

开源项目推荐

  1. Cilium:一个 Kubernetes Network Policy 的优秀实现。Cilium 是一款适用于容器间通信的网络策略软件。依靠 Linux 的核心能力–柏克莱封包过滤器(Berkeley Packet Filter,缩写 BPF) 在安全性和隔离性上有表现出色。目前作为 Kubernetes 的 addons 存在,体现出很强的安全可视性和强制执行的能力。

本周阅读推荐

  1. Kubernetes 中 Informer 的使用简介: Informer 是编写 Kubernetes 自定义控制器的过程中会经常使用到的一个概念,也是自定义控制器通过 WATCH 机制获取 Kubernetes API 对象的主要手段。不过,你是否也经常对 Informer 以及相关的 Reflector、Delta FIFO Queue、Local Store、WorkQueue 这些概念困惑不已呢?这篇博客通过简单易懂的语言对 Informer 的工作原理做了一个通俗易懂的解读,推荐你学习一下。

  2. Service Mesh发展趋势:云原生中流砥柱: 介绍 ServiceMesh 最新的产品动态,分析其发展趋势和未来走向;结合蚂蚁的上云实践,阐述在云原生背景下 Service Mesh 的核心价值,和对云原生落地的关键作用。




本周报由阿里巴巴容器平台联合蚂蚁金服共同发布


本周作者:至简、张磊、宋净超、林育智、大虎、王夕宁、张晓宇


责任编辑:木环




前期周报回顾


云原生生态周报 Vol. 6:KubeCon EU 亮点汇总


云原生生态周报 Vol. 5: etcd 性能知多少


云原生生态周报 Vol.4:Twitter 从 Mesos 全面转向 Kubernetes


云原生生态周报 Vol. 3:Docker Hub 遭入侵,Java 8 开始提供良好的容器支持


云原生生态周报 Vol. 2:Godaddy 开源 KES、CNCF 提供免费云原生课程


云原生生态周报 Vol. 1:Google 发布 Cloud Run,开源项目 Kubecost 让 K8s 花费一目了然


2019-06-12 15:296719

评论

发布
暂无评论
发现更多内容

城市的智能进化,汇成数字中国的璀璨银河

脑极体

智慧城市

挑战 30 天学完 Python:Day15 错误类型

MegaQi

挑战30天学完Python 三周年连更

大模型“涌现”的思维链,究竟是一种什么能力?

脑极体

人工智能

《底层逻辑2:理解商业世界的本质》

石云升

读书笔记 三周年连更

Windows下 IDE工具常见编译错误FAQ

鸿蒙之旅

OpenHarmony 三周年连更

读书笔记:如何成为某个领域的前1%

老张

读书笔记 方法 写作技巧

粉丝提问:区块链与大数据开发读研方向怎么选?

千与编程

区块链、 大数据 开源

算法题每日一练:螺旋矩阵 I

知心宝贝

数据结构 算法 前端 后端 三周年连更

Qz学算法-数据结构篇(二分查找、删除)

浅辄

三周年连更

手撕代码系列(三)

Immerse

JavaScript 前端面试题 手撕代码 ES6-ES12 面试必考

爱在日落黄昏时 | 我有话要说

后台技术汇

三周年连更

自动化运维工具一览

穿过生命散发芬芳

自动化运维 三周年连更

Java注解编译期处理AbstractProcessor详解

石臻臻的杂货铺

Java

通过华为云ECS云服务器搭建安防视频监控平台

DS小龙哥

三周年连更

轻松处理pdf文件:Acrobat Pro DC 2023 中文激活版

真大的脸盆

Mac Mac 软件 PDF编辑 pdf编辑工具

10分钟打造基于ChatGPT的Markdown智能文档

俞凡

人工智能

深入探讨Go语言中Semaphore信号量的机制原理

Jack

CDH安装与部署

乌龟哥哥

三周年连更

火山引擎云原生数据仓库ByteHouse技术白皮书V1.0 (Ⅵ)

字节跳动数据平台

大数据 数据仓库 云原生 元数据 企业号 4 月 PK 榜

云资源提供技术

阿泽🧸

云资源 三周年连更

C++ STL容器和算法:详解和实例演示

小万哥

c++ 容器 算法 后端 stl

挑战 30 天学完 Python:Day14 高阶函数

MegaQi

挑战30天学完Python 三周年连更

极速上手使用Docker,这篇文章就够了!

浅羽技术

Java Docker centos 容器化 三周年连更

【Python实战】Python采集代理IP信息

BROKEN

三周年连更

切片的其他妙用

宇宙之一粟

Go 切片 三周年连更

Matlab实现最优化

Shine

三周年连更

Matlab实现机器学习

袁袁袁袁满

三周年连更

高效理解机器学习

俞凡

机器学习 算法

2023阿里云合作伙伴大会-主论坛回顾

科技pai

阿里云 伙伴大会 2023阿里云合作伙伴大会

我们如何将 Amazon Snowcone 送入轨道

亚马逊云科技 (Amazon Web Services)

如何评价 ChatGPT 回答策略的 ensure only ethical usage 特质

汪子熙

ChatGPT ChatGPT4 三周年连更

云原生生态周报 Vol. 7 | Docker 再爆 CVE_云原生_至简_InfoQ精选文章