面对runc逃逸漏洞,华为云容器为您保驾护航

最新推荐文章于 2024-05-21 15:15:51 发布
最新推荐文章于 2024-05-21 15:15:51 发布
阅读量235 收藏
点赞数

背景信息


基于runc运行时的容器存在安全漏洞,攻击者可以通过恶意容器镜像等方式获取宿主机root执行权限。漏洞CVE-2019-5736

的详细信息,请参见


https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736


漏洞原理分析


本次漏洞典型的攻击方式是通过恶意镜像:在恶意镜像中,将攻击函数隐藏在恶意动态库如(libseccomp.so.2)中,并使执

行命令指向/proc/self/exe。


当runc动态编译时,会从容器镜像中载入动态链接库,导致加载恶意动态库;当打开/prco/self/exe即runc时,会执行恶意动

态链接库中的恶意程序,由于恶意程序继承runc打开的文件句柄,可以通过该文件句柄替换host上的runc。


此后,再次执行runc相关的命令,则会产生逃逸。


影响范围


本次漏洞对所有采用runc的容器引擎均生效,runc是Docker容器的核心组件,因此对绝大部分容器均会产生影响。其中主要

影响的是多用户共享节点的场景,可导致某用户通过渗透进而控制节点并攻击整集群。


华为云CCE容器服务:

CCE容器服务创建的Kubernetes集群属于单租户专属,不存在跨租户共享,影响范围较小,对于多用户场景需要关注。

当前CCE采用华为优化的iSula Docker容器,其中RUNC采用静态编译,目前公开披露的攻击方法无法成功入侵。为确保容器

服务安全稳定运行,CCE容器服务将会在近日对在运行Docker容器进行热升级。


华为云CCI容器实例服务:

CCI引擎采用华为iSula Kata容器引擎,提供单节点上多容器高安全的hypervisor级别的隔离能力,并没有采用runc容器,因

此本次漏洞将不会对CCI产生影响。


修复方法


华为云CCE容器服务:


近日CCE容器服务会对运行的Docker进行无损热升级,包含正在运行的1.11.2, 17.06等历史版本均会提供对应补丁版本,无

需更新到18.09版本,已运行容器将不受影响,请各位关注升级公告。


自建kubernetes或使用开源容器引擎:


· 升级Docker到18.09.2版本, 由于开源Docker在17.06之后的版本做了较大变更,涉及架构解耦重构,该办法可能会导致用户

容器业务中断,建议做好充分验证,并按节点逐步滚动升级。


· 仅升级runc,对于17.06等Docker版本,可以不中断已运行业务,当前runc官方尚未发布包含漏洞修复补丁的新版本,如果

要单独升级runc,用户可自行编译。


· 另特别提醒,本次Docker官方补丁使用了高版本Linux内核的系统调用,在低版本内核部分版本上可能会失效,若补丁失效

时,建议升级至3.17以上内核。华为云CCE容器服务提供的补丁针对官方补丁进行了优化适配,已验证在多版本内核上均可

生效。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/69908804/viewspace-2633738/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/69908804/viewspace-2633738/

cubishan9095
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S 生态周报| runc 修复多个漏洞,影响 Docker、containerd 和 Kubernetes
k8s 生态
09-05 746
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。runc v1.1.4 发布runc 是一个底层容器运行时,我在之前已经写过很多篇文章介绍它了,感兴趣的小伙伴可以翻翻历史文章。上周它发布了 v1.1.4 版本, 这是 v1.1 系列的第 4 个 patch 版本。当前该项目正在积极的进行 v1.2...
华为云、阿里云、腾讯云——三种云计算各自的特点
05-11
安全方面,腾讯云提供云防火墙、云堡垒机等安全产品,为用户的数据安全保驾护航。 总结来说,华为云、阿里云、腾讯云这三大云计算平台各有特色。华为云以其深厚的通信技术背景和全面的产品线吸引客户,阿里云则凭借...
Runc 漏洞(CVE-2021-30465)离线修复
Mr_Wanter
09-22 2767
runC 是 Docker,Kubernetes 等依赖容器的应用程序的底层容器运行时。此次爆出的严重安全漏洞可使攻击者以 root 身份在主机上执行任何命令。容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。
CVE-2021-30465 逃逸漏洞升级
最新发布
mccruixi的博客
05-21 282
Containerd 是一个控制 runC 的守护进程,提供命令行客户端和 API,用于在一个机器上管理容器。在特定网络条件下,攻击者可通过访问containerd-shim API,从而实现Docker容器逃逸。runC 是 Docker,Kubernetes 等依赖容器的应用程序的底层容器运行时。容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。漏洞名称:runc 路径遍历漏洞/Docker runc容器逃逸漏洞
runc 文件描述符泄漏漏洞(CVE-2024-21626)
云深海阔专栏
02-20 673
将我们runc的版本升级到1.1.12。2、下载最新的runc二进制文件。3、查看最新的runc版本号。1、查看现有的版本号。
runc 文件描述符泄漏导致容器逃逸漏洞(CVE-2024-21626)
小小的木头人的博客
05-08 556
升级runc版本号 >= 1.1.12。
华为云为医疗健康保驾护航.rar
09-20
华为云为医疗健康保驾护航——探索云计算在医疗行业的深度应用》 随着科技的快速发展,云计算技术正在逐步渗透到各个行业中,特别是在医疗健康领域,华为云以其强大的计算能力、安全可靠的服务以及灵活的解决方案...
华为云为医疗健康保驾护航.pdf
09-12
华为云作为领先的云计算服务提供商,深入医疗健康领域,为行业提供了全方位的解决方案。 华为云医疗行业解决方案覆盖了医疗服务的全过程,包括诊前、诊中和诊后的各个环节。具体来说: 1. **诊前便民APP和营销平台...
华为云安全服务_广州生态大会宣讲胶片.pptx
02-20
总的来说,华为云安全服务旨在通过技术创新和生态合作,构建一个安全、可靠、高效的云生态环境,为企业数字化转型保驾护航。随着云安全服务市场的快速发展,华为将继续投入研发,以应对日益复杂的网络安全威胁,满足...
思博伦、赛灵思为华为全球首个路由器单端口400GE保驾护航!.pdf
10-08
思博伦、赛灵思为华为全球首个路由器单端口400GE保驾护航!.pdf
runc 文件描述符泄漏漏洞(CVE-2024-21626)及处理方法
weixin_43962030的博客
04-02 1432
runc 文件描述符泄漏漏洞及处理方法
docker runc 版本升级
热门推荐
桐原因的博客
01-12 1万+
1.背景: runc是一个轻量级通用容器运行环境,它允许一个简化的探针到运行和调试的底层容器的功能,不需要整个docker守护进程的接口。 runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。攻击者可利用该漏洞在未授权的情况下,构造恶意数据造成容器逃逸,最终造成服务器敏感性信息泄露。 2.解决方案 将 runc
Docker runC 严重安全漏洞导致容器逃逸修复方法(CVE-2019-5736 )
zhangyuxun3的博客
03-30 2966
漏洞详情: Docker、containerd或者其他基于runc容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。
Kubernetes决定弃用Docker,到底会影响到谁?
xcbeyond|疯狂源自梦想,技术成就辉煌
12-10 421
点击上方“程序猿技术大咖”,关注加群讨论导读:Kubernetes 在其最新的 Changelog 中宣布,自 Kubernetes 1.20 之后将弃用 Docker 作为容器运行时。...
RunC升级
虫虫的博客
06-02 4094
1、RunC 是什么? RunC 是一个轻量级的工具,它是用来运行容器的,只用来做这一件事,并且这一件事要做好。 我们可以认为它就是个命令行小工具,可以不用通过 docker 引擎,直接运行容器。 事实上,runC 是标准化的产物,它根据 OCI 标准来创建和运行容器。 而 OCI(Open Container Initiative)组织,旨在围绕容器格式和运行时制定一个开放的工业化标准 2、安装 runC RunC 是用 golang 创建的项目,因此编译它之前需要在本地安装 golang 的开发环境。
K8s+isulad+prometheus环境搭建
yonghengv1的博客
04-29 2219
K8S环境搭建k8s版本:1.21.01.修改源2.安装最新版软件包3.systemctl enable --now kubelet.service4.关闭配置系统服务5.系统参数设置:以上步骤 k8s master节点和node节点都要设置6.安装master节点 (只需要master执行)6.1 先拉取镜像, --image-repository 指定阿里云镜像代理。6.26.3 安装6.4启动7.安装cni插件查看健康状态8.添加node节点 k8s版本:1.21.0 1.修改源 bash -c 'c
docker逃逸漏洞(CVE-2019-5736)
chaojixiaojingang
12-23 1万+
1.漏洞描述 2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CRI-O等默认运行时容器runc的严重漏洞CVE-2019-5736。漏洞会对IT运行环境带来威胁,漏洞利用会触发容器逃逸、影响整个容器主机的安全,最终导致运行在该主机上的其他容器被入侵。漏洞影响AWS, Google Cloud等主流云平台。日前,该容器逃逸漏洞的PoC利用代码已在...
docker逃逸漏洞复现(CVE-2019-5736)
网络安全。
01-29 1万+
0x01 概述 2019年2月11日,runC的维护团队报告了一个新发现的漏洞,该漏洞最初由Adam Iwaniuk和Borys Poplawski发现。该漏洞编号为CVE-2019-5736,漏洞影响在默认设置下运行的Docker容器,并且攻击者可以使用它来获得主机上的root级访问权限。 0x02 漏洞原理 漏洞点在于runC,RunC是一个容器运行时,最初是作为Docker的一部分开发的,后...
华为机器视觉:标准化考场解决方案与安防趋势
"该资源是关于华为机器视觉在标准化考场解决方案中的应用,主要讨论了2020年12月27日的...随着教育信息化2.0行动计划的推进和中国教育现代化2035目标的实施,这样的解决方案将更显重要,为我国教育考试安全保驾护航
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值