面对runc逃逸漏洞,华为云容器为您保驾护航

栏目: 编程工具 · 发布时间: 5年前

背景信息

基于runc运行时的容器存在安全漏洞,攻击者可以通过恶意容器镜像等方式获取宿主机root执行权限。漏洞CVE-2019-5736

的详细信息,请参见

https://cve.mitre.org/cgi-bin/ ... -5736

漏洞原理分析

本次漏洞典型的攻击方式是通过恶意镜像:在恶意镜像中,将攻击函数隐藏在恶意动态库如(libseccomp.so.2)中,并使执

行命令指向/proc/self/exe。

当runc动态编译时,会从容器镜像中载入动态链接库,导致加载恶意动态库;当打开/prco/self/exe即runc时,会执行恶意动

态链接库中的恶意程序,由于恶意程序继承runc打开的文件句柄,可以通过该文件句柄替换host上的runc。

此后,再次执行runc相关的命令,则会产生逃逸。

影响范围

本次漏洞对所有采用runc的容器引擎均生效,runc是 Docker 容器的核心组件,因此对绝大部分容器均会产生影响。其中主要

影响的是多用户共享节点的场景,可导致某用户通过渗透进而控制节点并攻击整集群。

华为云CCE容器服务:

CCE容器服务创建的Kubernetes集群属于单租户专属,不存在跨租户共享,影响范围较小,对于多用户场景需要关注。

当前CCE采用华为优化的iSula Docker容器,其中RUNC采用静态编译,目前公开披露的攻击方法无法成功入侵。为确保容器

服务安全稳定运行,CCE容器服务将会在近日对在运行Docker容器进行热升级。

华为云CCI容器实例服务:

CCI引擎采用华为iSula Kata容器引擎,提供单节点上多容器高安全的hypervisor级别的隔离能力,并没有采用runc容器,因

此本次漏洞将不会对CCI产生影响。

修复方法

华为云CCE容器服务:

近日CCE容器服务会对运行的Docker进行无损热升级,包含正在运行的1.11.2, 17.06等历史版本均会提供对应补丁版本,无

需更新到18.09版本,已运行容器将不受影响,请各位关注升级公告。

自建kubernetes或使用开源容器引擎:

· 升级Docker到18.09.2版本, 由于开源Docker在17.06之后的版本做了较大变更,涉及架构解耦重构,该办法可能会导致用户

容器业务中断,建议做好充分验证,并按节点逐步滚动升级。

· 仅升级runc,对于17.06等Docker版本,可以不中断已运行业务,当前runc官方尚未发布包含漏洞修复补丁的新版本,如果

要单独升级runc,用户可自行编译。

· 另特别提醒,本次Docker官方补丁使用了高版本 Linux 内核的系统调用,在低版本内核部分版本上可能会失效,若补丁失效

时,建议升级至3.17以上内核。华为云CCE容器服务提供的补丁针对官方补丁进行了优化适配,已验证在多版本内核上均可

生效。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

轻快的Java

轻快的Java

(美)塔特、杰兰德/国别:中国大陆 / 张晓坤 / 中国电力出版社 / 2006-7 / 29.00元

Java的开发者正深陷于复杂性的泥沼中而无法自拔。我们的经验和能力正接近极限,程序员为了编写支持所选框架的程序所花的时间比解决真正问题的时间要多得多。我们不禁要问,有必要把Java搞得这么复杂吗?   答案是否定的。本书给你指引了一条出路。无论是维护应用程序,还是从头开始设计,你都能够超越成规,并大幅精简基本框架、开发过程和最终代码。你能重新掌握一度失控的J2EE应用程序。   在本书......一起来看看 《轻快的Java》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

html转js在线工具
html转js在线工具

html转js在线工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具