docker runc升级(解决CVE-2021-30465漏洞)

最新推荐文章于 2024-05-30 08:02:06 发布
最新推荐文章于 2024-05-30 08:02:06 发布
阅读量28 收藏
点赞数
文章标签: docker 容器 运维
原文链接:https://www.cnblogs.com/zhangmingcheng/p/14863148.html
版权

docker runc升级(解决CVE-2021-30465漏洞)
一、背景:

2021年5月31日,阿里云应急响应中心监测到国外安全研究人员披露 CVE-2021-30465 runc 符号链接挂载与容器逃逸漏洞。
1、漏洞描述
runc是容器Runtime的一个实现,主要作用是使用Linux Kernel提供的如namespaces等进程隔离机制,构建供容器运行的隔离环境。CVE-2021-30465 中,攻击者可通过创建恶意POD及container,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至 container 中,并最终可能导致容器逃逸。阿里云应急响应中心提醒 runc 用户尽快采取安全措施阻止漏洞攻击。
2、漏洞评级
CVE-2021-30465 runc 符号链接挂载与容器逃逸漏洞-高危
3、影响版本
runc <= 1.0.0-rc94
4、安全版本
runc 1.0.0-rc95
5、安全建议
升级 runc 至安全版本
6、修复链接
https://github.com/opencontainers/runc/security/advisories/GHSA-c3xm-pvg7-gh7r

二、docker runc升级
1、下载安全版本的runc到本地电脑

下载地址:

https://github.com/opencontainers/runc/releases/download/v1.0.0-rc95/runc.amd64

2、 将下载好的runc.amd64文件上传到服务器、修改文件名并赋权

mv runc.amd64 runc && chmod +x runc

3、 备份原有的runc

mv /usr/bin/runc /home/runcbak

4、停止docker

systemctl stop docker

5、替换新版本runc

cp runc /usr/bin/runc

6、 启动docker

systemctl start docker

7 、检查runc是否升级成功

docker version

执行docker version命令,发现runc Version为1.0.0-rc95代表runc升级成功。

TimBL
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
容器逃逸Docker runcCVE-2019-5736)漏洞复现与分析
SHELLCODE_8BIT的博客
08-08 942
【代码】Docker runccve-2019-5736)漏洞复现与分析。
RunC TOCTOU逃逸CVE-2021-30465分析
YDclub的博客
08-18 539
背景 国外安全研究员champtar[1]在日常使用中发现Kubernetes tmpfs挂载存在逃逸现象,研究后发现runC存在条件竞争漏洞,可以导致挂载逃逸[2]。 关于条件竞争TOCTOU和一些linux文件基础知识可见这篇文章《初探文件路径条件竞争 - TOCTOU&CVE-2019-18276》[3]。 CVE-2021-30465在Redteam的研究者视角中比较鸡肋,因为需要K8S批量创建POD的权限。但在产品安全的视角恰恰相反,针对Caas(Container as a ser
CVE-2021-25735:利用CVE-2021-25735
05-14
CVE-2021-25735 利用CVE-2021-25735:Kubernetes验证准入Webhook绕过 设置脆弱的环境 让我们从运行脚本gencerts.sh开始以生成TLS证书和密钥。 bash gencerts.sh 要部署接纳控制器,您需要在本地构建Docker容器映像,使用以下命令标记该映像并将其推送到Dockerhub。 docker login docker build -t validationwebhook:1.0 . docker tag validationwebhook:1.0 darryk/dev:1.0 docker push darryk/dev:1.0 现在,您可以将使用Node.js应用程序创建的映像部署到您的K8s集群中。 webhook-deploy.yaml将在群集中部署所有必需的组件。 kubectl apply -f webhook-d
Runc 漏洞CVE-2021-30465)离线修复
Mr_Wanter
09-22 2719
runCDocker,Kubernetes 等依赖容器的应用程序的底层容器运行时。此次爆出的严重安全漏洞可使攻击者以 root 身份在主机上执行任何命令。容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。
[漏洞修复]Docker runc容器逃逸漏洞(CVE-2021-30465)
水布天
04-11 2384
runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。runc是一个轻量级通用容器运行环境,它允许一个简化的探针到运行和调试的底层容器的功能,不需要整个docker守护进程的接口。如果采取替换runc二进制文件进行漏洞修复,针对不同的操作系统发行版,需要替换对应操作系统发行版提供的runc二进制文件。
Docker Runc容器逃逸漏洞CVE-2021-30465)离线修复
THZLYXX的博客
02-02 913
runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。如果采取替换runc二进制文件进行漏洞修复,针对不同的操作系统发行版,需要替换对应操作系统发行版提供的runc二进制文件。runc官方下载链接:https://github.com/opencontainers/runc/releases/6.检查runc版本。
RunC漏洞导致容器逃逸(CVE-2021-30465
Ms08067安全实验室
01-06 1785
文章来源|MS08067 红队攻防班本文作者:BLACK(红队攻防班讲师)场景介绍runC是⼀个CLI⼯具,⽤于根据OCI规范⽣成和运⾏容器,该⼯具被⼴泛的应⽤于各种虚拟化环境中,如Kub...
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
CVE-2021-3129:Laravel调试RCE
05-26
CVE-2021-3129 Laravel debug rce 食用方法 执行docker-compse up -d启动环境 访问8888端口后点击首页面的generate key就可以复现了 关于docker环境想说的几点: 把.env.example复制到.env作用是开启debug环境 关闭...
CVE-2019-11043-Docker
04-25
docker run --rm -p8080:80 akamajoris/cve-2019-11043您应该能够通过以下网址访问Web应用程序: 。 开发 从https://github.com/neex/phuip-fpizdam构建二进制文件,然后 root@debian:~/gopath/bin# curl "localhost...
docker镜像反推Dockerfile
Merlin's Engineering Blog
05-27 357
在项目运维的过程中,偶尔会遇到某个docker image打包时候的Dockerfile版本管理不善无法与image对应的问题,抑或需要分析某个三方docker image的构建过程,这时,就希望能够通过image反推构建时的instruction.想实现这个过程可以使用一些三方工具比如dive,但是需要额外的安装,其实docker本身也有可用的功能,能帮助我们分析image的构建命令.
使用dockerfile快速构建一个带ssh的docker镜像
qq_42693842的博客
05-29 233
镜像启动后没有自动启动ssh。需要手动进入镜像启动。
Docker搭建Redis主从 + Redis哨兵模式(一主一从俩哨兵)
weixin_42599091的博客
05-29 785
v /opt/docker/redis/conf/redis.conf:/etc/redis/redis.conf ## 容器里的redis配置文件与/opt/docker/redis/conf/redis.conf下的配置文件互相通信。-v /opt/docker/redis/data:/data ## 将容器里的数据挂载到宿主机/opt/docker/redis/data目录下。进入到 cd /opt/docker/redis/conf 把 redis.conf 配置文件放到这里。
Docker基础篇之常用命令
qq_43456605的博客
05-27 977
启动docker: 停止docker: 重启docker: 查看docker 的运行状态: 开机启动: 查看docker该要信息: 查看docker 帮助文档 查看docker命令帮助文档: 同一个仓库源可以有多个Tag版本,代表这个仓库源的不同个版本,我们使用Repository:Tag来定义不同的镜像。 它的options选项说明如下: docker search [options]:远程库中查找某个镜像的名称 它的options选项说明如下: docker pull 某个xxx镜像名字:将
Docker基础命令(三)
junjunzai123的博客
05-29 240
背景: 在很多时候, 训练模型的时候, 记录的log日志中标记的时间和实际的时间不一致, 往往是容器时间和本地时间不一致照成的.
docker使用
qq_43907296的博客
05-27 442
能看懂哪个用哪个介绍一:https://cloud.tencent.com/developer/article/2157725 介绍二: docker有两个概念需要知道,一个是镜像,一个是容器docker pull …是从服务端拉取镜像docker run …是选一个镜像制作成容器并运行起来docker stop 容器名:是停止一个容器的运行docker restart 容器名:是重新运行某个容器docker rm 容器名:是删除一个容器docker ps:查看所有运行中的容器docker ps -a
Docker的数据管理(数据卷+数据卷容器
最新发布
misakivv的博客
05-30 1017
Dcoker的数据管理(数据卷+数据卷容器
Docker compose 的方式一键部署夜莺
core815的专栏
05-23 641
通常使用 bridge 模块做测试即可。因为 MacOS 不支持 host network,所以,MacOS 用户只能使用 bridge 模式。如果你还不知道 bridge 模式和 host network 的区别,就直接用 bridge 模式即可,或者用二进制部署,不要使用 docker compose 了。启动成功之后,建议把 initsql 目录下的内容挪走,这样下次重启的时候,DB 就不会重新初始化了。浏览器访问 n9e 的端口,即 17000,默认用户是 root,密码是 root.2020。
dockernginx 安全漏洞(cve-2019-9511)不升级
01-23
docker是一款用于构建、发布和运行应用程序的开源平台。而Nginx是一款流行的开源的Web服务器软件。CVE-2019-9511是指Nginx在处理大量特定的HTTP/2请求时可能会导致远程的拒绝服务攻击。 如果不升级docker中的Nginx,就意味着仍然存在这个安全漏洞,可能会导致服务器遭受拒绝服务攻击。在遭受攻击时,服务器将无法正常处理用户的请求,从而导致服务不可用。这不仅会影响用户体验,还可能导致数据丢失、服务中断等严重后果。 对于企业而言,安全漏洞的存在可能会引发法律责任问题,因为企业需要承担用户数据泄露或服务中断所带来的责任。此外,还可能面临声誉受损、业务损失等问题。因此,即使在Nginx中发现了安全漏洞,也要及时升级修复,以保障服务器和应用程序的正常运行。 为了解决这个问题,首先需要及时了解CVE-2019-9511的修复情况,并及时查找Nginx的安全升级版本。随后,需要安排技术人员进行升级工作,确保Nginx的版本得到及时修复。为了防止类似漏洞再次出现,还需要加强对docker环境的安全监控和漏洞扫描,及时发现和解决安全问题。 综上所述,不升级docker中的Nginx安全漏洞可能会导致严重的后果,因此必须及时进行修复和升级工作,保障服务器和应用程序的安全运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值