runC爆严重漏洞影响Kubernetes、Docker,阿里云修复runC漏洞的公告

最新推荐文章于 2024-02-29 14:33:58 发布
最新推荐文章于 2024-02-29 14:33:58 发布
阅读量619 收藏
点赞数

runC 是 Docker,Kubernetes 等依赖容器的应用程序的底层容器运行时。此次爆出的严重安全漏洞可使攻击者以 root 身份在主机上执行任何命令。


容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。


2019年2月11日,研究人员通过oss-security邮件列表

https://www.openwall.com/lists/oss-security/2019/02/11/2 

披露了runc容器逃逸漏洞的详情,根据OpenWall的规定EXP将在2019年2月18日公开。


2月12日,阿里云文档中心已经发布《修复runc漏洞CVE-2019-5736的公告》。

https://help.aliyun.com/document_detail/107320.html

阿里云容器服务已修复runc漏洞CVE-2019-5736。以下介绍该漏洞的影响范围及解决方法。


Docker、containerd或者其他基于runc的容器在运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作获取到宿主机runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。


解决办法


  • 新建Kubernetes1.11或1.12集群。容器服务新创建的1.11或1.12版本的Kubernetes集群已经包含修复该漏洞的Docker版本。

  • 升级Docker。升级已有集群的Docker到18.09.2或以上版本。该方案会导致容器和业务中断。

  • 仅升级runc(针对Docker版本17.06)。为避免升级Docker引擎造成的业务中断,可以按照以下步骤,逐一升级集群节点上的runc二进制。


1.执行以下命令定位docker-runc。docker-runc通常位于/usr/bin/docker-runc路径下。

which docker-runc


2.执行以下命令备份原有的runc:

mv /usr/bin/docker-runc /usr/bin/docker-runc.orig.$(date -Iseconds)


3.执行以下命令下载修复的runc:

curl -o /usr/bin/docker-runc -sSL https://acs-public-mirror.oss-cn-hangzhou.aliyuncs.com/runc/docker-runc-17.06-amd64


4.执行以下命令设置docker-runc的可执行权限:

chmod +x /usr/bin/docker-runc


5.执行以下命令测试runc是否可以正常工作:

docker-runc -v

# runc version 1.0.0-rc3

#commit: fc48a25bde6fb041aae0977111ad8141ff396438

# spec: 1.0.0-rc5

docker run -it --rm ubuntu echo OK


6.如果是Kubernetes集群中的GPU节点,还需要完成以下步骤额外安装下nvidia-runtime。


a.执行以下命令定位nvidia-container-runtime。nvidia-container-runtime通常位于/usr/bin/nvidia-container-runtime路径下。

which nvidia-container-runtime


b.执行以下命令备份原有的nvidia-container-runtime:

mv 

/usr/bin/nvidia-container-runtime 

/usr/bin/nvidia-container-runtime.orig.$(date -Iseconds)


c.执行以下命令下载修复的nvidia-container-runtime:

curl -o /usr/bin/nvidia-container-runtime -sSL https://acs-public-mirror.oss-cn-hangzhou.aliyuncs.com/runc/nvidia-container-runtime-17.06-amd64


d.执行以下命令设置nvidia-container-runtime的可执行权限:

chmod +x /usr/bin/nvidia-container-runtime


e.执行以下命令测试nvidia-container-runtime是否可以正常工作:

nvidia-container-runtime -v

#  runc version 1.0.0-rc3

#commit: fc48a25bde6fb041aae0977111ad8141ff396438-dirty

#  spec: 1.0.0-rc5


docker run -it --rm -e NVIDIA_VISIBLE_DEVICES=all ubuntu nvidia-smi -L

# GPU 0: Tesla P100-PCIE-16GB (UUID: GPU-122e199c-9aa6-5063-0fd2-da009017e6dc)


说明 本测试运行在GPU P100机型中,不同GPU型号会有区别。


点击左下角阅读原文查看更多!


640?wx_fmt=png

如果觉得本文还不错,点击好看一下!


云栖社区v
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker逃逸--runc容器逃逸漏洞(CVE-2019-5736)
07-26 2万+
漏洞简述: 攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 利用条件: Docker版本 < 18.09.2,runc版本< 1.0-rc6。(在Docker 18.09.2之前的版本中使用了的runc版本小于1.0-rc6。) 可通过 dockerdocker-r...
博文 “docker找不到runc“ runc资源
08-30
博文 “docker找不到runc:failed to create shim: OCI runtime create failed: unable to retrieve OCI runtime ” 附带资源
Runc 漏洞(CVE-2021-30465)离线修复
yshir
02-29 128
runCDockerKubernetes 等依赖容器的应用程序的底层容器运行时。容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。漏洞名称:runc 路径遍历漏洞/Docker runc容器逃逸漏洞修复策略:将 runc 升级到 1.0.0-rc95 及以上版本。下载runc 1.0-rc95 runc.amd64。CVE 编号:CVE-2021-30465。2.2 检查runc版本。2.5 替换二进制文件。
Docker Runc容器逃逸漏洞(CVE-2021-30465)离线修复
THZLYXX的博客
02-02 778
runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。如果采取替换runc二进制文件进行漏洞修复,针对不同的操作系统发行版,需要替换对应操作系统发行版提供的runc二进制文件。runc官方下载链接:https://github.com/opencontainers/runc/releases/6.检查runc版本。
安全容器在边缘计算场景下的实践
xt1233的博客
12-12 812
**导读:**随着云计算边界不断向边缘侧延展,传统 RunC 容器已无法满足用户对不可信、异构工作负载的运行安全诉求,边缘 Serverless、边缘服务网格等更是对容器安全隔离提出了严苛的要求。本文将介绍边缘计算场景如何构建安全运行时技术基座,以及安全容器在架构、网络、监控、日志、存储、以及 K8s API 兼容等方面的遇到的困难挑战和最佳实践。 正文: 本文主要分为四个部分,首先前两个部分会分...
RunC曝出容器逃逸漏洞,允许恶意人士对主机系统进行root访问
Docker的专栏
02-14 423
日前,runC(一款广泛用于生成及运行容器的CLI工具)当中曝出严重安全漏洞,其可能被用于破坏高权限runC容器内的runC主机二进制文件,这意味着攻击者将能够立足底层主...
runC 严重漏洞,使用容器的快打补丁;辩论界人机大战,人类获胜
redditnote的博客
02-13 224
(给技术最前线加星标,每天看技术热点)转自:开源中国、solidot、cnBeta、腾讯科技、快科技等【技术资讯】0、runC 严重漏洞,使用容器的快打补丁runC 是 ...
docker runc版本升级 (OCI runtime exec failed: exec failed: unable to start container process: open /dev)
无痕的博客
11-09 3354
1、runc版本升级 2、OCI runtime exec failed: exec failed: unable to start container process: open /dev/pts/0: operation not permitted: unknown
Docker】升级docker或者dockerdocker-ce完全保留镜像和容器,不影响原容器使用方法
A-Itfuture的博客
12-20 2321
CentOS自带的docker是早期的版本,支持的功能比较少,而且已经没有人维护了。最新的版本存在于docker团队维护的版本,社区版本是docker-ce,企业版本是docker-ee。由于默认CentOS自带的是早期的版本的docker,所以yum默认也是下旧的docker。我当时没太在意,就正常使用,装了几个容器,并有数据在里面。后来在拉取一个镜像时,报错:missing signature key,于是参考博文,需要升级docker。那么如何升级docker并且不能丢失我的容器和数据呢?
【云原生渗透】- docker runc容器逃逸漏洞(CVE-2019-5736)
神棍之路
01-11 1233
运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。containerd 向下通过 containerd-shim 结合 runC,使得引擎可以独立升级,避免之前 Docker Daemon 升级会导致所有容器不可用的问题。将该payload拷贝到docker容器中(这就是模拟攻击者获取了docker容器权限,在容器中上传payload进行docker逃逸)
Docker 一文读懂
zhouzhiwengang的专栏
06-16 2779
Docker 中有非常重要的三个基本概念,理解了这三个概念,就理解了 Docker 的整个生命周期。Docker镜像常用命令 Docker创建容器可选参数Docker 容器限制参数 Docker基本指令 Docker 版本、系统信息(包含镜像和容器的数量信息)和帮助指令 MobaXterm 实际操作 Docker 镜像命令 docker images 查看本地主机的所有镜像 MobaXterm 实际操作 列表参数介绍: image指令可选参数: docker searc
docker到runC
02-25
安装docker,其实是安装了docker客户端、dockerd等一系列的组件,其中比较重要的有下面几个。docker程序是一个客户端工具,用来把用户的请求发送给dockerdaemon...该程序的安装路径为:详情请参考《RunC简介》。
riddler:将docker inspect转换为opencontainers runc规范的工具
01-30
如果您使用的/var/run/docker/libcontainerd版本大于1.11,则可以像这样从/var/run/docker/libcontainerd复制配置: $ docker ps -a CONTAINER ID CREATED STATUS PORTS NAMES d4da95779a3c 3 minutes ago Up 3 ...
runc-1.1.4.tar.gz
02-22
Get runC 在旧金山举行的DockerCon大会上, 开放容器项目 和一个运行容器的CLI工具runC同时和大家见面。runC是 libcontainer 的一层包装(wrapper )。 它是Docker捐献给开放容器项目用来作为参考实现的。这听起来...
60道关于Redis的常见面试题.pdf
04-18
- 1. 什么是 Redis?它的主要特点是什么? - 2. Redis 支持哪些数据结构?请详细描述每种数据结构的用途和特点。 - 3. 什么是缓存穿透?在使用 Redis 时,如何防止缓存穿透? - 4. 介绍 Redis 的持久化机制以及对比它们之间的区别。 - 5. 如何实现 Redis 的分布式锁?你了解的分布式锁有哪些实现方式? - 6. Redis 的数据淘汰策略有哪些?分别是如何工作的? - 7. 什么是 Redis 事务?它是如何实现的?与传统数据库事务有何不同? - 8. 如何设置 Redis 的主从复制?主从复制有什么优势和限制? - 9. Redis 支持的数据结构中,有哪些可以实现计数功能?请详细说明其使用场景。 - 10. 什么是 Redis Sentinel?它的作用是什么?如何配置和使用 Sentinel?
2024年社交媒体广告行业分析报告.pptx
04-18
2024年社交媒体广告行业分析报告.pptx
网站界面设计mortal0418代码
04-18
网站界面设计mortal0418代码
2024年休闲椅行业分析报告.pptx
最新发布
04-18
2024年休闲椅行业分析报告.pptx
docker缺少runc
12-07
如果在Docker中缺少runc,将会对Docker的功能和运行产生一些影响。首先,没有runcDocker将无法创建容器。runc负责加载容器所需的文件系统、设备、网络和命名空间等。这意味着我们将无法使用Docker来隔离和运行应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值