您的位置:首页>>互联网

阻击RunC逃逸漏洞 华为云容器为您支招

发布时间:2019-02-14 16:55:13  来源:互联网    采编:孙月  背景:

  RunC容器逃逸漏洞(CVE-2019-5736)暴露这几天,各云容器服务供应商纷纷提供了各自的解决方案,相对于业内普遍要求用户中断业务,升级Docker最新版本的有损升级方案,华为云容器服务提供了最省心的在线无损升级解决方案。

  背景信息

  基于RunC运行时的容器存在安全漏洞,攻击者可以通过恶意容器镜像等方式获取宿主机root执行权限。

  漏洞原理分析

  本次漏洞典型的攻击方式是通过恶意镜像:在恶意镜像中,将攻击函数隐藏在恶意动态库如(libseccomp.so.2)中,并使执行命令指向/proc/self/exe。当RunC动态编译时,会从容器镜像中载入动态链接库,导致加载恶意动态库;当打开/proc/self/exe即RunC时,会执行恶意动态链接库中的恶意程序,由于恶意程序继承RunC打开的文件句柄,可以通过该文件句柄替换host上的RunC。此后,再次执行RunC相关的命令,则会产生逃逸。

  影响范围

  本次漏洞对所有采用RunC的容器引擎均生效,RunC是Docker容器的核心组件,因此对绝大部分容器均会产生影响。其中主要影响的是多用户共享节点的场景,可导致某用户通过渗透进而控制节点并攻击整集群。

  华为云CCE容器服务: CCE容器服务创建的Kubernetes集群属于单租户专属,不存在跨租户共享,影响范围较小,对于多用户场景需要关注。

  CCE采用的是华为自研的iSula Docker容器,其中RunC采用静态编译方式载入依赖库,因此目前公开披露的攻击方式无法入侵。

  但为确保容器服务运行更安全,CCE容器服务仍将在近日完成现网Docker容器的自动热升级,用户无需任何手动操作,且升级过程对运行中的容器业务无影响。

  华为云CCI容器实例服务: CCI引擎采用华为iSula Kata容器引擎,提供单节点上多容器高安hypervisor级别的隔离能力,并没有采用RunC容器,因此本次漏洞将不会对CCI产生影响。

  修复方法

  华为云CCE容器服务:

  近日CCE容器服务会对运行的Docker进行无损热升级,包含正在运行的1.11.2, 17.06等历史版本均会提供对应补丁版本,无需更新到18.09版本,已运行容器将不受影响,请各位关注升级公告。

  自建Kubernetes或使用开源容器引擎:

  升级Docker到18.09.2版本, 由于开源Docker在17.06之后的版本做了较大变更,涉及架构解耦重构,该办法可能会导致用户容器业务中断,建议做好充分验证,并按节点逐步滚动升级。

  仅升级RunC,对于17.06等Docker版本,可以不中断已运行业务,当前RunC官方尚未发布包含漏洞修复补丁的新版本,如果要单独升级RunC,用户可自行编译。

  另特别提醒,本次Docker官方补丁使用了高版本Linux内核的系统调用,在低版本内核部分版本上可能会失效,若补丁失效时,建议升级至3.17以上内核。华为云CCE容器服务提供的补丁针对官方补丁进行了优化适配,已验证在多版本内核上均可生效。




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
滴滴春节期间补贴司机3.05亿元 发放900万个红包
2月15日消息,据滴滴出行官方微信公众号消息,滴滴在春节期间为坚守岗位的司机共发放了3.05亿元补贴...
日期:02-15
social成为生存技能  可明明“社恐”才让人心慌,我们需要解压  闪说app如何解决社交需求和痛点
你我皆“社恐”。
  新的一天,新的恐惧。
  做一个八面玲珑的social达...
日期:02-14
情人节天猫超市成人用品销量暴涨600% 数万快递小哥保障一小时达
今天北方多地迎来雪天模式,南方多地则持续被雨水笼罩。雨雪气候给各地市民的出行带来很大不便。加...
日期:02-14
苹果计划今年4月推出视频服务 果粉可免费观看原创内容
2月14日消息,据美国财经网站CNBC报道,苹果计划4月份与哥伦比亚广播公司(CBS)、维亚康姆(Viacom)和...
日期:02-14
国双:技术,让数据点石成金
从没有哪一年,像刚刚过去的2018年一样,让人们切身体会到数据安全的重要性。
日期:02-14
苹果3月25日发布会推视频服务 邀请好莱坞明星出席
苹果公司进军电影行业 与奥斯卡获奖者合作拍电影
日期:02-14
威胁快报|首爆新型TLS 1.2协议漏洞
对于安全加密通信,传输层安全协议(SSL/TLS)的重要性不言而喻。如今的TLS协议不仅被用于传输层通讯...
日期:02-13
猫眼上市 互联网娱乐头号玩家的边界和挑战
农历戊戌年除夕,港交所最后一声铜锣敲响,为过去一年互联网公司上市潮画下一个句号。作为今天的主角,...
日期:02-13
在品质保证与全网最低价之间  萌推做了什么?
正品?低价包邮?还有免费送?为何萌推上十几块钱的东西还“包邮”?不会赔?在品质保证与全网...
日期:02-13
春节假期尾声   斗米支招让你放心找工作
不管是职场新人还是工作几年的成熟职场人,都希望能够找到一个称心如意的工作。尤其是对于学生而言...
日期:02-12
春节红包“一网打尽” 应用宝成一站式福利聚集地
俗话说“过完十五才是年”,虽然不少公司已经开工大吉,但网友们依然沉浸在年味之中,见...
日期:02-12
精英在线入驻华为云严选商城   在线教育与智慧党建齐头并进
精益求精,不断前行。
  近日,杭州精英在线教育科技股份有限公司(以下简称“精英在线&...
日期:02-12
AIoT的新一年,如何走实脚下路?
春伊始,万象更新。
  世界变化的速度永远超乎我们的想象。春节档一部“中国制造”...
日期:02-12
QuestMobile社区团购洞察报告:新零售最后一公里战局分晓将至?
文章来源:QuestMobile
  2018年,中国的零售总额已经接近40万亿,O2O、新零售、智慧零售概...
日期:02-12
湖北移动发布2019年春节大数据报告 57%用户使用手机超过8小时
猪年春节期间大家使用了多少流量?使用了多长时间手机?人们使用手机都做了些什么?2月11日,中国移动...
日期:02-12
一群程序猿竟然进军时尚界了
摘要:程序猿不好好写代码,扬言要进军时尚界,会不会成了2018年最大的笑话?
日期:02-11
辛辛苦苦集福  凑字挣了多少钱?聊天宝直接发了188元的红包
每到春节期间各家的集福、凑字活动都会进行的如火如荼,人人见面都在问,有xx福吗?有x字吗?最终活动...
日期:02-11
重磅官宣!亚博体育赞助意甲——全面助力小世界杯复兴
近日,亚博体育与“五大联赛之王”的意大利足球甲级联赛达成了战略合作伙伴关系。从意甲...
日期:02-11
小红书携陈赫送祝福  千万红包福利大派送
大年初六日,无人不送穷。借此六六大顺吉日,搞笑逗趣的陈赫在小红书APP上,为大家送上新春祝福和快...
日期:02-11
旧俗新解,小红书联名人民日报洞悉当下新青年的多元生活
用新眼光审视旧年俗,用短视频为家乡代言,新青年们正通过新的生活方式参与对传统的独特理解和表达...
日期:02-09