runc 是 docker,kubernetes 等依賴容器的應用程式的底層容器執行時,此次爆出的嚴重安全漏洞可使攻擊者以 root 身份在主機上執行任何命令。
容器的安全性一直是容器技術的乙個短板。關於容器最大的安全隱患是攻擊者可以使用惡意程式感染容器,更嚴重時可以攻擊主機系統。2月11日,安全研究員通過 oss-security 郵件列表披露了 runc 容器逃逸漏洞的詳情,而這個漏洞可能讓上述情況發生。
runc 由 docker 公司開發,現在已作為 oci 規範被廣泛使用。如果你正在使用容器,那麼有很大的可能是在 runc 上執行它們。此次爆出的漏洞允許惡意容器覆蓋主機上的 runc 二進位制檔案,以在主機上獲取 root 級別的**執行,讓攻擊者能夠以 root 身份執行任何命令。
攻擊方式是將容器中的目標二進位制檔案替換為返回的 runc 二進位制檔案,攻擊者可以通過附加特權容器(將其連線到終端)或使用惡意映象啟動並使其自行執行。但是 linux 核心通常不允許在 runc 執行過程中主機上的 runc 二進位制檔案被覆蓋。
這時候攻擊者可以使用 o_path 標誌開啟/ proc / self / exe
的檔案描述符,然後繼續通過/ proc / self / fd /
重新開啟二進位制檔案o_wronly
並在乙個單獨程序中的繁忙 loop 裡嘗試寫入。sarai 解釋說,最終,當 runc 二進位制檔案退出時攻擊就成功了。
紅帽的容器技術產品經理 scott mccarty 警告大家:
runc 和 docker 中安全漏洞(cve-2019-5736)的披露說明了許多 it 管理員和 cxo 面臨著糟糕的情況。容器代表向共享系統的轉變,其中來自不同使用者的應用程式都在同一 linux 主機上執行。利用此漏洞意,惡意**可能會肆意蔓延,不僅影響單個容器,還會影響整個容器主機,最終會破壞主機上執行的成百上千個容器。像這種影響各種互連生產系統的級聯漏洞可能會成為企業 it 的世界末日場景...... 而這正是這個漏洞可能產生的結果。大多數雲容器系統都容易受到這種潛在攻擊。除了 runc,報告還說明了這個漏洞還可能會影響到 lxc 和 apache mesos。如果你正在執行任何型別的容器,需要盡快打補丁。該安全研究員已經 push 了乙個 git 提交來修復這個漏洞。另外,docker 剛剛發布的 18.09.2 版本也修復了該漏洞;linux 發行版 debian 和 ubuntu 正在修復該漏洞。aws 和 google cloud 已發布安全通知,建議客戶更新各種受影響服務的容器。
mccarty 表示,這不是第乙個主要的容器執行時安全漏洞,也不會是最後乙個。
就像去年 spectre/meltdown 代表了安全研究從軟體架構向處理器架構轉變一樣,我們應該期待 runc 這樣的低級別容器執行時和 docker 這樣的容器引擎,現在也會受到研究人員和潛在惡意行為者的額外關注。參考:zdnet,theregister,高效開發運
runC 爆嚴重漏洞,使用容器的快打補丁
開發四年只會寫業務 分布式高併發都不會還做程式設計師?runc 是 docker,kubernetes 等依賴容器的應用程式的底層容器執行時,此次爆出的嚴重安全漏洞可使攻擊者以 root 身份在主機上執行任何命令。容器的安全性一直是容器技術的乙個短板。關於容器最大的安全隱患是攻擊者可以使用惡意程式感...
runC 爆嚴重漏洞,使用容器的快打補丁
開發四年只會寫業務 分布式高併發都不會還做程式設計師?runc 是 docker,kubernetes 等依賴容器的應用程式的底層容器執行時,此次爆出的嚴重安全漏洞可使攻擊者以 root 身份在主機上執行任何命令。容器的安全性一直是容器技術的乙個短板。關於容器最大的安全隱患是攻擊者可以使用惡意程式感...
新近爆出的runC容器逃逸漏洞,使用者如何面對?
runc是乙個根據oci open container initiative 標準建立並執行容器的cli工具,目前docker引擎內部也是基於runc構建的。2019年2月11日,研究人員通過oss security郵件列表 披露了runc容器逃逸漏洞的詳情,根據openwall的規定exp會在7天...