runC爆严重安全漏洞,主机可被攻击!使用容器的快打补丁
容器的安全性一直是容器技術(shù)的一個(gè)短板。關(guān)于容器最大的安全隱患是攻擊者可以使用惡意程序感染容器,更嚴(yán)重時(shí)可以攻擊主機(jī)系統(tǒng)。
2月11日,安全研究員Adam Iwaniuk和BorysPop?awski發(fā)現(xiàn)了容器運(yùn)行時(shí)runC的一個(gè)安全漏洞,這個(gè)漏洞可以讓上述情況發(fā)生。Aleksa Sarai,SUSE的容器高級(jí)軟件工程師同時(shí)也是Runc的維護(hù)者,紕漏了這個(gè)漏洞(CVE-2019-5736)。
漏洞詳情
runC是一個(gè)開(kāi)源命令行工具,用于運(yùn)行容器,是Docker,Kubernetes等依賴容器的應(yīng)用程序的底層容器運(yùn)行時(shí)。runC由Docker公司開(kāi)發(fā),現(xiàn)在已作為OCI規(guī)范被廣泛使用。如果你正在使用容器,那么有很大的可能是在runC上運(yùn)行它們。
此次爆出的漏洞允許惡意容器覆蓋主機(jī)上的RunC二進(jìn)制文件,以在主機(jī)上獲取root級(jí)別的代碼執(zhí)行,讓攻擊者能夠以root身份運(yùn)行任何命令。
攻擊方式是將容器中的目標(biāo)二進(jìn)制文件替換為返回的runC二進(jìn)制文件,攻擊者可以通過(guò)附加特權(quán)容器(將其連接到終端)或使用惡意鏡像啟動(dòng)并使其自行執(zhí)行。
但是Linux內(nèi)核通常不允許在runC執(zhí)行過(guò)程中主機(jī)上的runC二進(jìn)制文件被覆蓋。
這時(shí)候攻擊者可以使用O_PATH標(biāo)志打開(kāi)/ proc / self / exe的文件描述符,然后繼續(xù)通過(guò)/ proc / self / fd / \u0026lt;nr\u0026gt;重新打開(kāi)二進(jìn)制文件O_WRONLY并在一個(gè)單獨(dú)進(jìn)程中的繁忙loop里嘗試寫(xiě)入。Sarai解釋說(shuō),最終,當(dāng)runC二進(jìn)制文件退出時(shí)攻擊就成功了。
結(jié)果可能會(huì)比你想象的還糟。紅帽的容器技術(shù)產(chǎn)品經(jīng)理Scott McCarty警告大家:
runC和Docker中安全漏洞(CVE-2019-5736)的披露說(shuō)明了許多IT管理員和CxO面臨著糟糕的情況。容器代表向共享系統(tǒng)的轉(zhuǎn)變,其中來(lái)自不同用戶的應(yīng)用程序都在同一Linux主機(jī)上運(yùn)行。利用此漏洞意,惡意代碼可能會(huì)肆意蔓延,不僅影響單個(gè)容器,還會(huì)影響整個(gè)容器主機(jī),最終會(huì)破壞主機(jī)上運(yùn)行的成百上千個(gè)容器。像這種影響各種互連生產(chǎn)系統(tǒng)的級(jí)聯(lián)漏洞可能會(huì)成為企業(yè)IT的世界末日?qǐng)鼍啊@正是這個(gè)漏洞可能產(chǎn)生的結(jié)果。
及時(shí)打補(bǔ)丁
除了runC,Sarai在報(bào)告還說(shuō)明了這個(gè)漏洞還可能會(huì)影響到LXC和Apache Mesos。所以,如果你正在運(yùn)行任何類型的容器,需要盡快打補(bǔ)丁。Sarai已經(jīng)push了一個(gè)git提交來(lái)修復(fù)這個(gè)漏洞:
https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b
Docker剛剛發(fā)布的18.09.2版本也修復(fù)了該漏洞。
Linux發(fā)行版Debian和Ubuntu正在修復(fù)該漏洞。AWS和Google Cloud已發(fā)布安全通知,建議客戶更新各種受影響服務(wù)的容器。
大多數(shù)(如果不是全部)云容器系統(tǒng)都容易受到這種潛在攻擊。 例如,AWS表示,現(xiàn)在已有一個(gè)適用于亞馬遜Linux的補(bǔ)丁,但仍在為亞馬遜ECS,EKS和AWS Fargate推出補(bǔ)丁。
McCarty說(shuō)這不是第一個(gè)主要的容器運(yùn)行時(shí)安全漏洞,也不會(huì)是最后一個(gè)。
就像去年Spectre/Meltdown代表了安全研究從軟件架構(gòu)向處理器架構(gòu)轉(zhuǎn)變一樣,我們應(yīng)該期待runC這樣的低級(jí)別容器運(yùn)行時(shí)和Docker這樣的容器引擎現(xiàn)在也會(huì)受到研究人員和潛在惡意行為者的額外關(guān)注。
參考鏈接:
https://www.theregister.co.uk/2019/02/11/docker_container_flaw/
https://www.zdnet.com/article/doomsday-docker-security-hole-uncovered/
總結(jié)
以上是生活随笔為你收集整理的runC爆严重安全漏洞,主机可被攻击!使用容器的快打补丁的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: html关于拖放叙述错误,CIW页面设计
- 下一篇: 计算机单片机英语书籍推荐,英语翻译近十几