新近爆出的runC容器逃逸漏洞,使用者如何面對?

2021-09-10 19:43:32 字數 2010 閱讀 2849

runc是乙個根據oci(open container initiative)標準建立並執行容器的cli工具,目前docker引擎內部也是基於runc構建的。 2023年2月11日,研究人員通過oss-security郵件列表( )披露了runc容器逃逸漏洞的詳情,根據openwall的規定exp會在7天後也就是2023年2月18日公開。

此漏洞允許以root身份執行的容器以特權使用者身份在主機上執行任意**。實際上,這意味著容器可能會破壞docker主機(覆蓋runc cli),而所需要的只是能夠使用root來執行容器。攻擊者可以使用受感染的docker映象或對未受感染的正在執行的容器執行exec命令。針對此問題的已知緩解措施包括:

rancher團隊第一時間響應

收到披露郵件後,rancheros團隊立刻嘗試編寫了攻擊指令碼,在乙個普通容器中執行乙個非常簡單的指令碼就完成了對主機的攻擊,將主機上的runc替換成了其他程式。

漏洞披露後,docker在第一時間發布了18.09.2,使用者可公升級到此版本以修復該漏洞。rancher labs研發團隊同樣第一時間響應,發布了rancher v2.1.6、v2.0.11和v1.6.26,這三個新版本rancher支援docker剛剛發布的18.09.2,rancher使用者可以公升級docker版本以防止被該安全漏洞影響。

無法公升級docker版本怎麼辦

通常由於各種因素,很多使用者的生產環境並不容易公升級太新的docker版本。

為了幫助無法按照docker官方建議公升級至最新版docker 18.09.2的使用者解決此次問題,rancher labs團隊更進一步,已經將修復程式反向移植到所有版本的docker,為docker 1.12.6、1.13.1、17.03.2、17.06.2、17.09.1、18.03.1和18.06.1提供補丁,修復這次漏洞!相關修補程式以及安裝說明,請參考:

rancheros的更新:v1.5.1 和 v1.4.3

rancheros作為一款容器化作業系統,其中很多元件依賴runc,我們也在第一時間更新了補丁並發布了v1.5.1和v1.4.3兩個版本。

rancheros的核心部件system-docker和user-docker都依賴runc,所以v1.5.1和v1.4.3都對他們進行了更新。而針對user-docker,rancheros可以切換各種版本的docker engine, 所以我們對以下docker engine都進行了反向移植:

v1.12.6/v1.13.1/v17.03.2/v17.06.2/v17.09.1/v17.12.1/v18.03.1/v18.06.1。

如果是預設安裝v1.5.1或v1.4.3,補丁程式已經是內建的,你無需任何操作就可以避免該漏洞。如果你希望使用早期的docker版本,那麼切換user-docker時,請使用上面提到的補丁修復版本:

同時v1.5.1版本也是支援docker 18.09.2,你可以切換到該版本,如果你考慮使用docker官方的修復版本,只需簡單執行: ros engine switch docker-18.09.2。

我們推薦您使用最新的rancheros v1.5.1版本,該除了修復cve-2019-5736漏洞外還支援其他新特性以及一些bug fix。當然,因為仍然有很多使用者在使用1.4.x版本,所以我們也發布了v1.4.3, 它只修復了runc漏洞,沒有其他額外的更新。

文件說明:

初心不忘,為使用者的docker & k8s之旅護航

2023年年底kubernetes被爆出的首個嚴重安全漏洞cve-2018-1002105,就是由rancher labs聯合創始人及首席架構師darren shepherd發現的。

2023年1月kubernetes被爆出儀錶盤和外部ip**安全漏洞時,rancher labs也是第一時間向使用者響應,確保所有rancher 2.x和1.6.x的使用者都完全不被漏洞影響。

未來,rancher也將一如既往陪伴與支援在使用者的k8s之路左右❤️

新近爆出的runC容器逃逸漏洞,使用者如何面對?

runc是乙個根據oci open container initiative 標準建立並執行容器的cli工具,目前docker引擎內部也是基於runc構建的。2019年2月11日,研究人員通過oss security郵件列表 披露了runc容器逃逸漏洞的詳情,根據openwall的規定exp會在7天...

新近爆出的runC容器逃逸漏洞,使用者如何面對?

runc是乙個根據oci open container initiative 標準建立並執行容器的cli工具,目前docker引擎內部也是基於runc構建的。2019年2月11日,研究人員通過oss security郵件列表 披露了runc容器逃逸漏洞的詳情,根據openwall的規定exp會在7天...

新近爆出的runC容器逃逸漏洞,使用者如何面對?

runc是乙個根據oci open container initiative 標準建立並執行容器的cli工具,目前docker引擎內部也是基於runc構建的。2019年2月11日,研究人員通過oss security郵件列表 披露了runc容器逃逸漏洞的詳情,根據openwall的規定exp會在7天...