runC爆严重安全漏洞,主机可被攻击!使用容器的快打补丁

最新推荐文章于 2024-05-08 11:07:42 发布
最新推荐文章于 2024-05-08 11:07:42 发布
阅读量176 收藏
点赞数
版权所有©️都是我自己写哒!
本文链接:https://blog.csdn.net/cpongo1/article/details/89024185
版权

容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。

\n

2月11日,安全研究员Adam Iwaniuk和BorysPopławski发现了容器运行时runC的一个安全漏洞,这个漏洞可以让上述情况发生。Aleksa Sarai,SUSE的容器高级软件工程师同时也是Runc的维护者,纰漏了这个漏洞(CVE-2019-5736)。

\n

漏洞详情

\n

runC是一个开源命令行工具,用于运行容器,是Docker,Kubernetes等依赖容器的应用程序的底层容器运行时。runC由Docker公司开发,现在已作为OCI规范被广泛使用。如果你正在使用容器,那么有很大的可能是在runC上运行它们。

\n

此次爆出的漏洞允许恶意容器覆盖主机上的RunC二进制文件,以在主机上获取root级别的代码执行,让攻击者能够以root身份运行任何命令。

\n

攻击方式是将容器中的目标二进制文件替换为返回的runC二进制文件,攻击者可以通过附加特权容器(将其连接到终端)或使用恶意镜像启动并使其自行执行。

\n

但是Linux内核通常不允许在runC执行过程中主机上的runC二进制文件被覆盖。

\n

这时候攻击者可以使用O_PATH标志打开/ proc / self / exe的文件描述符,然后继续通过/ proc / self / fd / \u0026lt;nr\u0026gt;重新打开二进制文件O_WRONLY并在一个单独进程中的繁忙loop里尝试写入。Sarai解释说,最终,当runC二进制文件退出时攻击就成功了。

\n

结果可能会比你想象的还糟。红帽的容器技术产品经理Scott McCarty警告大家:

\n
\n

runC和Docker中安全漏洞(CVE-2019-5736)的披露说明了许多IT管理员和CxO面临着糟糕的情况。容器代表向共享系统的转变,其中来自不同用户的应用程序都在同一Linux主机上运行。利用此漏洞意,恶意代码可能会肆意蔓延,不仅影响单个容器,还会影响整个容器主机,最终会破坏主机上运行的成百上千个容器。像这种影响各种互连生产系统的级联漏洞可能会成为企业IT的世界末日场景…而这正是这个漏洞可能产生的结果。

\n
\n

及时打补丁

\n

除了runC,Sarai在报告还说明了这个漏洞还可能会影响到LXC和Apache Mesos。所以,如果你正在运行任何类型的容器,需要尽快打补丁。Sarai已经push了一个git提交来修复这个漏洞:

\n

https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b

\n

Docker刚刚发布的18.09.2版本也修复了该漏洞。

\n

Linux发行版Debian和Ubuntu正在修复该漏洞。AWS和Google Cloud已发布安全通知,建议客户更新各种受影响服务的容器。

\n

大多数(如果不是全部)云容器系统都容易受到这种潜在攻击。 例如,AWS表示,现在已有一个适用于亚马逊Linux的补丁,但仍在为亚马逊ECS,EKS和AWS Fargate推出补丁。

\n

McCarty说这不是第一个主要的容器运行时安全漏洞,也不会是最后一个。

\n
\n

就像去年Spectre/Meltdown代表了安全研究从软件架构向处理器架构转变一样,我们应该期待runC这样的低级别容器运行时和Docker这样的容器引擎现在也会受到研究人员和潜在恶意行为者的额外关注。

\n
\n

参考链接:

\n

https://www.theregister.co.uk/2019/02/11/docker_container_flaw/

\n

https://www.zdnet.com/article/doomsday-docker-security-hole-uncovered/

\n
flybirding10011
关注
【云原生进阶之容器】第五章容器运行时5.7--容器逃逸原理
junbaozi的专栏
04-11 722
容器逃逸,是指“流氓”容器尝试突破正常隔离环境限制,借助一些手段获得容器所在的直接宿主机、宿主机上的其他容器或集群内其他主机、其他容器的某种权限下的命令执行能力,进行恶意攻击执行越权访问的行为。容器逃逸漏洞可能打穿容器节点,甚至整个集群。
Docker再曝安全漏洞,这次是PWD的问题
啊啊啊啊2
09-24 193
近日,网络安全公司CyberArk的研究人员发现了一种破解流行Play-with-Docker(PWD)站点的方法,可绕过容器隔离边界限制,直接获取用户文件。不过,该错误配置目前已被修复。近年来,容器已成为应用程序部署越来越流行的方法,为运行和管理本地和云工作负载提供了一种灵活的工作方式。近日,安全公司Cyber Ark称发现Play-with-Docker存在安全风险,攻击者可轻松访问主机系统资...
云小课|Runc容器逃逸漏洞(CVE-2024-21626)安全风险通告
华为云官方博客
02-04 1860
runc官方发布安全公告,披露runc 1.1.11及更早版本中存在容器逃逸漏洞攻击者会利用该漏洞导致容器逃逸,进一步获取宿主机权限。
【云原生渗透】- docker runc容器逃逸漏洞(CVE-2019-5736)
神棍之路
01-11 1341
运行时存在安全漏洞攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。containerd 向下通过 containerd-shim 结合 runC,使得引擎可以独立升级,避免之前 Docker Daemon 升级会导致所有容器不可用的问题。将该payload拷贝到docker容器中(这就是模拟攻击者获取了docker容器权限,在容器中上传payload进行docker逃逸)
docker (1)概念
二哈欢乐多的博客
11-20 197
docker是一个开源的应用容器引擎,基于LXC(linux container)内核虚拟化技术实现,提供一系列更强的功能,比如镜像、dockerfile等 docker理念是将应用及依赖包打包到一个可移植的容器中,可发布在任意Linux发行版docker引擎上,使用沙箱机制运行程序,程序之间相互隔离 docker采用C/S架构,Docker daemon作为服务端接受来自客户端请求,并处理这...
RunC 多个漏洞使攻击者获得主机权限,可实现容器逃逸
smellycat000的专栏
02-01 349
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士runC 命令行工具中存在多个漏洞,可被攻击者用于逃逸容器边界并执行后续攻击。这些漏洞的编号是CVE-2024-21626、CVE-2024-23651、CVE-2024-23652和CVE-2024-23653,被发现它们的 Snyk 公司统称为 “Leaky Vessels(有漏洞容器)”。研究人员指出,“这些容器逃逸漏洞可导致攻击者获得对...
Centos7系统安全漏洞及修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
宿主机进程挂载到容器内_容器逃逸技术概览
weixin_36075067的博客
12-24 530
近年来,容器技术持续升温,全球范围内各行各业都在这一轻量级虚拟化方案上进行着积极而富有成效的探索,使其能够迅速落地并赋能产业,大大提高了资源利用效率和生产力。随着容器化的重要甚至核心业务越来越多,容器安全的重要性也在不断提高。作为一项依然处于发展阶段的新技术,容器的安全性在不断地提高,也在不断地受到挑战。与其他虚拟化技术类似,在其面临的所有安全问题当中,「逃逸问题」最为严重——它直接影响到了承载容...
漏洞扫描器并非100%靠谱,那么容器镜像安全又当如何保证?
m0_63828240的博客
05-24 1374
长期以来,修补软件漏洞是维护部署代码安全的重要内容。如今,随着传统应用转向云原生容器化部署,打补丁的过程发生了巨大的变化。
「安定坊」安全卫士-容器漏洞评估
AnDFCyberSec的博客
09-17 270
「安定坊」安全卫士-容器漏洞评估 现阶段,我们正在从虚拟化过渡到容器化,一些我们所熟悉的容器化技术就包括了诸如docker或quay.io等。一般来说,我们可以通过配置程序依赖环境来为特定应用程序建立镜像,通常当开发人员使用容器时,它不仅把程序进行了打包,同时也可以将程序封装成操作系统一部分。可糟糕的是,我们不知道容器的连接库是否已打补丁或是否易受到攻击。 因此,今天我们要来展示的是“如何在任何基础架构中进行容器审计以及漏洞评估”。 Clair:针对漏洞的漏扫工具 安装 CoreOS开发了一个很棒的容器扫描
玩转Docker(一):容器生态系统
TracyCoder的博客
12-13 1197
容器定义工具允许用户定义容器的内容和属性,这样容器就能够被保存、共享和重建。docker image是Docker容器的模板,runtime依据docker image创建容器。dockerfile是包含若干命令的文本文件,可以通过这些命令创建出docker image。ACI(App Container Image)与docker image类似,只不过它是由CoreOS开发的rkt容器的image格式。
docker逃逸漏洞——CVE-2019-5736
a505964648的博客
02-15 746
Docker、containerd或者其他基于runc容器运行时存在安全漏洞攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。docker runc容器逃逸漏洞(CVE-2019-5736)发生在runc模块(也叫容器运行时)。编译poc(需要安装golang-go和gccgo-go)修改后的poc(记得将sh修改为bash启动)假设管理员进入docker容器。就可以看shell就反弹成功了。
容器生态系统 - 每天5分钟玩转容器技术(2)
jj1130050965的博客
11-22 368
容器生态系统 - 每天5分钟玩转容器技术(2) 原创CloudManCloudMan2017-04-14 第2篇 容器生态系统 ...
漏洞复现】Docker runC 容器逃逸漏洞(CVE-2019-5736)
做自己喜欢的事,并将其发挥到极致!
12-09 5313
2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CRI-O等默认运行时容器runc严重漏洞CVE-2019-5736。漏洞会对IT运行环境带来威胁,漏洞利用会触发容器逃逸、影响整个容器主机的安全,最终导致运行在该主机上的其他容器被入侵。漏洞影响AWS, Google Cloud等主流云平台。日前,该容器逃逸漏洞的PoC利用代码已在GitHub上公布。
容器的老祖宗LXC和Docker的关系
03-18 4515
LXC(Linux Container的缩写)是一个基于Linux内核的容器虚拟化技术,它提供了一种轻量级、速、简便的方式来创建和管理系统容器。与传统虚拟化技术不同,LXC并不会模拟硬件,而是利用Linux内核的功能来隔离进程和文件系统。这使得LXC可以更加轻量级和高效,启动和运行容器的速度也比虚拟机得多。LXC容器可以被用于各种用途,包括开发、测试、部署和运行应用程序。容器可以随时创建、启动、停止和删除,容器的配置也可以根据需要进行调整。
runc 文件描述符泄漏导致容器逃逸漏洞(CVE-2024-21626)
最新发布
小小的木头人的博客
05-08 791
升级runc版本号 >= 1.1.12。
容器安全防线】Docker攻击方式与防范技术探究
wangluoanquan111的博客
07-29 382
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。一个完整的Docker有以下几个部分组成:1、DockerClient客户端2、Docker Daemon守护进程3、Docker Image镜像4、DockerContainer容器
Runc容器运行过程及容器逃逸原理
绝对防御局的博客
02-21 1665
在每一个Kubernetes节点中,运行着kubelet,负责为Pod创建销毁容器,kubelet预定义了API接口,通过GRPC从指定的位置调用特定的API进行相关操作。而这些CRI的实现者,如cri-o, containerd等,通过调用runc创建出容器。runc功能相对单一,即针对特定的配置,构建出容器运行指定进程,它不能直接用来构建镜像,kubernetes依赖的如cri-o这类CRI,在runc基础上增加了通过API管理镜像,容器等功能。 Kubelet,Cri-O,runc,Linux大致层
容器生成和运行工具 runC
weixin_34363171的博客
06-09 162
runC 详细介绍 runc 是一个命令行工具,用来大量生成和运行符合 OCF/OCP 规范的容器。 可嵌入 容器作为 runC 的子进程开启,在不需要运行一个 Docker daemon 的情况下可以嵌入到其他各种系统。 硬实力 runC 基于 libcontainer,同样的容器技术驱动百万级 Docker Engine 安装。 兼容 Docker ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

flybirding10011

谢谢支持啊999

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值