runC爆严重安全漏洞,主机可被攻击!使用容器的快打补丁

最新推荐文章于 2024-04-02 07:30:26 发布
最新推荐文章于 2024-04-02 07:30:26 发布
阅读量177 收藏
点赞数
版权所有©️都是我自己写哒!
本文链接:https://blog.csdn.net/cpongo1/article/details/89024185
版权

容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。

\n

2月11日,安全研究员Adam Iwaniuk和BorysPopławski发现了容器运行时runC的一个安全漏洞,这个漏洞可以让上述情况发生。Aleksa Sarai,SUSE的容器高级软件工程师同时也是Runc的维护者,纰漏了这个漏洞(CVE-2019-5736)。

\n

漏洞详情

\n

runC是一个开源命令行工具,用于运行容器,是Docker,Kubernetes等依赖容器的应用程序的底层容器运行时。runC由Docker公司开发,现在已作为OCI规范被广泛使用。如果你正在使用容器,那么有很大的可能是在runC上运行它们。

\n

此次爆出的漏洞允许恶意容器覆盖主机上的RunC二进制文件,以在主机上获取root级别的代码执行,让攻击者能够以root身份运行任何命令。

\n

攻击方式是将容器中的目标二进制文件替换为返回的runC二进制文件,攻击者可以通过附加特权容器(将其连接到终端)或使用恶意镜像启动并使其自行执行。

\n

但是Linux内核通常不允许在runC执行过程中主机上的runC二进制文件被覆盖。

\n

这时候攻击者可以使用O_PATH标志打开/ proc / self / exe的文件描述符,然后继续通过/ proc / self / fd / \u0026lt;nr\u0026gt;重新打开二进制文件O_WRONLY并在一个单独进程中的繁忙loop里尝试写入。Sarai解释说,最终,当runC二进制文件退出时攻击就成功了。

\n

结果可能会比你想象的还糟。红帽的容器技术产品经理Scott McCarty警告大家:

\n
\n

runC和Docker中安全漏洞(CVE-2019-5736)的披露说明了许多IT管理员和CxO面临着糟糕的情况。容器代表向共享系统的转变,其中来自不同用户的应用程序都在同一Linux主机上运行。利用此漏洞意,恶意代码可能会肆意蔓延,不仅影响单个容器,还会影响整个容器主机,最终会破坏主机上运行的成百上千个容器。像这种影响各种互连生产系统的级联漏洞可能会成为企业IT的世界末日场景…而这正是这个漏洞可能产生的结果。

\n
\n

及时打补丁

\n

除了runC,Sarai在报告还说明了这个漏洞还可能会影响到LXC和Apache Mesos。所以,如果你正在运行任何类型的容器,需要尽快打补丁。Sarai已经push了一个git提交来修复这个漏洞:

\n

https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b

\n

Docker刚刚发布的18.09.2版本也修复了该漏洞。

\n

Linux发行版Debian和Ubuntu正在修复该漏洞。AWS和Google Cloud已发布安全通知,建议客户更新各种受影响服务的容器。

\n

大多数(如果不是全部)云容器系统都容易受到这种潜在攻击。 例如,AWS表示,现在已有一个适用于亚马逊Linux的补丁,但仍在为亚马逊ECS,EKS和AWS Fargate推出补丁。

\n

McCarty说这不是第一个主要的容器运行时安全漏洞,也不会是最后一个。

\n
\n

就像去年Spectre/Meltdown代表了安全研究从软件架构向处理器架构转变一样,我们应该期待runC这样的低级别容器运行时和Docker这样的容器引擎现在也会受到研究人员和潜在恶意行为者的额外关注。

\n
\n

参考链接:

\n

https://www.theregister.co.uk/2019/02/11/docker_container_flaw/

\n

https://www.zdnet.com/article/doomsday-docker-security-hole-uncovered/

\n
flybirding10011
关注
crun:速轻量的功能齐全的OCI运行时和用于运行容器的C库
02-03
crun的目标是也可以用作可轻松包含在程序中的库,而无需用于管理OCI容器的外部过程。 性能 crun比runc,并且内存占用量低得多。 这是我的机器上依次运行100个容器所经过的时间,这些容器运行/bin/true : n ...
Docker再曝安全漏洞,这次是PWD的问题
啊啊啊啊2
09-24 194
近日,网络安全公司CyberArk的研究人员发现了一种破解流行Play-with-Docker(PWD)站点的方法,可绕过容器隔离边界限制,直接获取用户文件。不过,该错误配置目前已被修复。近年来,容器已成为应用程序部署越来越流行的方法,为运行和管理本地和云工作负载提供了一种灵活的工作方式。近日,安全公司Cyber Ark称发现Play-with-Docker存在安全风险,攻击者可轻松访问主机系统资...
Runc 漏洞(CVE-2021-30465)离线修复
Mr_Wanter
09-22 2802
runC 是 Docker,Kubernetes 等依赖容器的应用程序的底层容器运行时。此次出的严重安全漏洞可使攻击者以 root 身份在主机上执行任何命令。容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。
云小课|Runc容器逃逸漏洞(CVE-2024-21626)安全风险通告
华为云官方博客
02-04 1889
runc官方发布安全公告,披露runc 1.1.11及更早版本中存在容器逃逸漏洞,攻击者会利用该漏洞导致容器逃逸,进一步获取宿主机权限。
runc 文件描述符泄漏漏洞(CVE-2024-21626)及处理方法
最新发布
weixin_43962030的博客
04-02 1642
runc 文件描述符泄漏漏洞及处理方法
【云原生渗透】- docker runc容器逃逸漏洞(CVE-2019-5736)
神棍之路
01-11 1346
运行时存在安全漏洞攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。containerd 向下通过 containerd-shim 结合 runC,使得引擎可以独立升级,避免之前 Docker Daemon 升级会导致所有容器不可用的问题。将该payload拷贝到docker容器中(这就是模拟攻击者获取了docker容器权限,在容器中上传payload进行docker逃逸)
runC 64位安装包,配置containerd使用
12-07
2. **解压并赋予执行权限**: 解压缩文件后,使用`chmod +x runc`命令为runC二进制文件添加可执行权限。 3. **安装到系统路径**: 为了全局使用runC,通常会将其移动到`/usr/local/bin`目录下,使用`sudo mv runc /...
Docker Runc容器生命周期详细介绍
09-30
Docker Runc是Docker生态系统中的核心组件,它负责管理容器的生命周期,特别是与Linux内核...这有助于开发者在出现问题时能更定位问题所在,或者在设计和实现自定义容器管理解决方案时,更好地利用Runc的底层功能。
博文 “docker找不到runc“ runc资源
08-30
博文 “docker找不到runc:failed to create shim: OCI runtime create failed: unable to retrieve OCI runtime ” 附带资源
docker (1)概念
二哈欢乐多的博客
11-20 197
docker是一个开源的应用容器引擎,基于LXC(linux container)内核虚拟化技术实现,提供一系列更强的功能,比如镜像、dockerfile等 docker理念是将应用及依赖包打包到一个可移植的容器中,可发布在任意Linux发行版docker引擎上,使用沙箱机制运行程序,程序之间相互隔离 docker采用C/S架构,Docker daemon作为服务端接受来自客户端请求,并处理这...
RunC 多个漏洞使攻击者获得主机权限,可实现容器逃逸
smellycat000的专栏
02-01 355
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士runC 命令行工具中存在多个漏洞,可被攻击者用于逃逸容器边界并执行后续攻击。这些漏洞的编号是CVE-2024-21626、CVE-2024-23651、CVE-2024-23652和CVE-2024-23653,被发现它们的 Snyk 公司统称为 “Leaky Vessels(有漏洞的容器)”。研究人员指出,“这些容器逃逸漏洞可导致攻击者获得对...
容器学习 之 容器的概念(一)
heihei
11-30 1959
容器本身 容器 runtime runtime 是容器真正运行的地方,相当于Java程序里面的JVM lxc、runc 和 rkt 是目前主流的三种容器 runtime: lxc 是 Linux 上老牌的容器 runtime。 runc 是 Docker 自己开发的容器 runtime,也是现在 Docker 的默认 runtime。 rkt 是 CoreOS 开发的容器 runtime。 ...
受感染的容器攻击暴露API的Docker主机,并使用Shodan来发现更多受害者
systemino的博客
06-06 226
为了监控针对容器的恶意活动,研究人员搭建了一个模拟暴露API的Docker主机作为蜜罐系统,而暴露的API是基于容器的威胁的最常见目标。研究人员的目标是监控蜜罐系统以检测是否有攻击者发现该系统并用它来应用不想要的容器,然后可以追踪溯源。研究人员通过检查蜜罐系统的状态发现容器的单独镜像已经在环境中应用了。 通过分析进出蜜罐的日志和流量数据,研究人员发现容器来自于一个名为zoolu2的Docker ...
runC高危漏洞(CVE-2024-21626)涉及Docker、Containerd、Kubernetes
iwalkman的博客
02-02 780
受影响的runc版本:1.0.0-rc93 <= runc <= 1.1.11,暴露到外网的务必升级。
Docker Runc容器逃逸漏洞(CVE-2021-30465)离线修复
THZLYXX的博客
02-02 1066
runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。如果采取替换runc二进制文件进行漏洞修复,针对不同的操作系统发行版,需要替换对应操作系统发行版提供的runc二进制文件。runc官方下载链接:https://github.com/opencontainers/runc/releases/6.检查runc版本。
玩转Docker(一):容器生态系统
TracyCoder的博客
12-13 1205
容器定义工具允许用户定义容器的内容和属性,这样容器就能够被保存、共享和重建。docker image是Docker容器的模板,runtime依据docker image创建容器。dockerfile是包含若干命令的文本文件,可以通过这些命令创建出docker image。ACI(App Container Image)与docker image类似,只不过它是由CoreOS开发的rkt容器的image格式。
docker逃逸漏洞——CVE-2019-5736
a505964648的博客
02-15 753
Docker、containerd或者其他基于runc容器运行时存在安全漏洞攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。docker runc容器逃逸漏洞(CVE-2019-5736)发生在runc模块(也叫容器运行时)。编译poc(需要安装golang-go和gccgo-go)修改后的poc(记得将sh修改为bash启动)假设管理员进入docker容器。就可以看shell就反弹成功了。
容器生态系统 - 每天5分钟玩转容器技术(2)
jj1130050965的博客
11-22 372
容器生态系统 - 每天5分钟玩转容器技术(2) 原创CloudManCloudMan2017-04-14 第2篇 容器生态系统 ...
【漏洞复现】Docker runC 容器逃逸漏洞(CVE-2019-5736)
做自己喜欢的事,并将其发挥到极致!
12-09 5329
2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CRI-O等默认运行时容器runc严重漏洞CVE-2019-5736。漏洞会对IT运行环境带来威胁,漏洞利用会触发容器逃逸、影响整个容器主机的安全,最终导致运行在该主机上的其他容器被入侵。漏洞影响AWS, Google Cloud等主流云平台。日前,该容器逃逸漏洞的PoC利用代码已在GitHub上公布。
通过宿主机执行Docker容器内部程序:原理与安全风险
"在本文中,我们探讨了如何在宿主机上执行Docker容器内的shell命令或程序,以及提到了一个安全风险,即利用Docker容器的不安全部署获取宿主机权限。" 主要内容如下: 1. **在宿主机上执行容器内程序**: Docker的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

flybirding10011

谢谢支持啊999

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值