一个未打补丁的漏洞影响所有版本的 Docker !

最新推荐文章于 2024-08-12 14:13:50 发布
最新推荐文章于 2024-08-12 14:13:50 发布
阅读量350 收藏
点赞数

文章来源: 云头条

所有版本的Docker目前都容易受到一种竞态条件(race condition)的攻击,这种竞态条件可能使攻击者对主机系统上的任何文件拥有读取权限和写入权限。概念验证代码已发布。

在这里插入图片描述

该漏洞类似CVE-2018-15664,它为黑客修改资源路径提供了一个机会窗口,这个机会窗口出现在路径被解析之后,但被分配的程序开始对资源进行操作之前的时间点。这被称为检查时间/使用时间(TOCTOU)类型的漏洞。

访问主机上的文件

究其核心,该漏洞源于FollowSymlinkInScope函数,该函数容易受到基本的TOCTOU攻击的影响。这个函数的目的是如同进程在Docker容器的内部那样对待进程,以一种安全的方式来解析指定的路径。

并不立即针对解析的路径进行操作,而是“稍微过一段时间进行操作”。攻击者可以推测这个时间差,添加一条符号链接(symlink)路径,该路径可能最终解析拥有root权限的主机。

这可以通过“docker cp”实用程序来实现,该实用程序允许在容器和本地文件系统之间复制内容。早在2014年就出现过类似的漏洞。

Suse的高级软件工程师Aleksa Sarai在安全公告中写道:“据我所知,对这种攻击没有任何有意义的防护(除了不允许对运行中的容器执行docker cp,但这只有助于应对通过FollowSymlinkInScope实现的特定攻击。)除非你通过AppArmor限制了Docker守护进程,否则它会影响主机文件系统。”

应对方法和漏洞脚本

在Hacker News网站上,一则讨论帖子提供了潜在的应对方法,不过它们有赖于实际环境的背景和目的。

Sarai提议的一种应对办法是修改“chrootarchive”,以便归档操作在安全的环境中运行,其中root是容器“rootfs”。这需要更改Docker的核心部分,因此这不可行。

其次的办法是在使用文件系统时暂停容器。这无法阻止所有攻击,但可以防御较基本的攻击。补丁已向上游提交,目前仍在审核中。

这位工程师还编写了两个漏洞脚本:一个脚本用于读取访问,另一个用于写入访问,其中二进制代码通过运行“a RENAME_EXCHANGE of a symlink to “/” and an empty directory in a loop”,试图达到竞态条件。Sarai称,这两个脚本的目的是将文件复制到含有修改后的符号链接的路径,或从该路径复制文件。

从处于竞态条件下的主机系统读取任意内容的攻击代码其成功率不到1%。这个成功率可能看起来很低,但实际上相当于等待10秒钟攻击就能得逞。

有了将资源写入到主机上的脚本,就有可能“仅用极少的迭代就可以覆盖主机文件系统”。

在公开宣布这个漏洞之前,Sarai与Docker安全团队讨论了这个问题,最后得出了披露是合理的这一结论。

liqiuman180688
关注
Docker容器逃逸漏洞-CVE-2024-21626
墨痕诉清风的博客
07-23 427
Snyk 在 Docker 引擎以及其他容器化技术(例如 Kubernetes)使用的 runc <=1.1.11 的所有版本中发现了一个漏洞。利用此问题可能会导致容器逃逸到底层主机操作系统,无论是通过执行恶意映像还是使用恶意 Dockerfile 或上游映像构建映像(即使用时FROM)
mysql漏洞如何打补丁_漏洞治理(漏洞情报)调研报告
weixin_39851457的博客
11-23 1421
君哥有话说漏洞运营和安全资产运营是快速收敛攻击面的最有效的两个措施,需要企业安全建设负责人首要关注,并投入大量精力确保漏洞管理的各项细节落地,包括漏洞发现、漏洞推修、漏洞验证等各个环节,这里面的细节很多,比如覆盖率、漏扫范围、漏扫技术细节(登陆扫描、被动式扫描)、漏扫类别、漏洞修复方式、不能修的漏洞补偿性措施、漏洞考核、避免历史漏洞重现等等。推荐泉哥的一本书《漏洞战争:软件漏洞分析精要...
Docker安全漏洞
Songbl_的博客
06-30 715
Docker本身提供了加密的远程管理端口2376,配合CA证书,就能提供TLS连接了 生成需要的证书文件 注意设置好自己的目录 openssl genrsa -out ca-key.pem 4096 证书的相关信息,设置自己的 openssl req -x509 -sha256 -batch -subj '/C=CN/ST=Shanghai/L=Shanghai/O=Ghostcloud Co.,Ltd/OU=Laboratory/CN=www.XXX.cn' -new -days 365 -key ca
【从漏洞到防护:浅谈Docker不容忽视的安全问题】
最新发布
OpsEye的博客
08-12 935
在网络时代,几乎所有编写的软件和应用都存在潜在的漏洞,想要完全没有漏洞的应用是几乎不可能实现的,当然Docker也不例外。Docker 容器技术在提供高效、可移植的软件部署环境的同时,也带来了一些安全挑战。针对 Docker 自身的漏洞,黑客的攻击手段层出不穷,给企业带来了多方面的挑战。所谓“兵来将挡水来土掩”,今天给大家分享几个常见的Docker安全问题及相对应的防护措施吧。Docker 的安全是一个持续的过程,需要综合考虑镜像构建、容器配置、运行时环境以及持续监控等多个方面。
云上攻防-云原生篇&Docker安全&系统内核&版本漏洞&CDK自动利用&容器逃逸
siu~
03-03 1402
1、云原生-Docker安全-容器逃逸&内核漏洞 2、云原生-Docker安全-容器逃逸&版本漏洞 3、云原生-Docker安全-容器逃逸&CDK自动化
docker逃逸漏洞(CVE-2019-5736)
热门推荐
chaojixiaojingang
12-23 1万+
1.漏洞描述 2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CRI-O等默认运行时容器runc的严重漏洞CVE-2019-5736。漏洞会对IT运行环境带来威胁,漏洞利用会触发容器逃逸、影响整个容器主机的安全,最终导致运行在该主机上的其他容器被入侵。漏洞影响AWS, Google Cloud等主流云平台。日前,该容器逃逸漏洞的PoC利用代码已在...
linux docker漏洞,Docker本地权限提升漏洞(CVE-2014-3499)
weixin_33653182的博客
05-16 281
发布日期:2014-07-01更新日期:2014-07-02受影响系统:Docker Docker描述:--------------------------------------------------------------------------------BUGTRAQ ID: 68303CVE(CAN) ID: CVE-2014-3499Docker是Linux上的服务提供容器管理。用...
docker安全
Yusheng9527的博客
03-16 876
docker安全 Docker存在的安全问题Docker自身漏洞Docker源码问题Docker架构缺陷与安全机制Docker安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置容器相关的常用安全配置方法容器最小化Docker远程API访问控制在docker服务配置文件指定监听内网ip重启 Docker在宿主机的firewalld上做IP访问控制在客户端上实现远程授权访问限制流量流向镜像安全 Docker存在的安全问题 Docker自身漏洞 作为一款应用Docker本身实现上会有代码缺陷。CVE官
学习Docker高级应用---远程TLS管理(安全认证)一篇就够了!!!
下一个艺术家
12-03 477
默认情况下,Docker通过非网络UNIX套接字运行。它还可以选择使用HTTP套接字进行通信。 如果需要以安全的方式通过网络访问Docker,则可以通过指定该tlsverify标志并将Docker的tlscacert标志指向 受信任的CA证书来启用TLS 。 在守护程序模式下,它仅允许来自由该CA签名的证书验证的客户端的连接。在客户端模式下,它仅连接到具有该CA签名的证书的服务器。
Docker——Docker安全及日志管理
weixin_59792733的博客
12-05 331
Docker——Docker安全及日志管理
Docker安全(TLS加密通讯,图文详解!)
qq_35456705的博客
03-31 493
Docker安全 文章目录Docker安全一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化1)Docker remote api 访问控制2)限制流量流向3)镜像安全4)Docker-TLS加密通讯 一、Docker 容器与虚拟机的区别 1.隔离与共享 虚拟机
dagda:一种工具,用于对docker images容器中的已知漏洞,特洛伊木马,病毒,恶意软件和其他恶意威胁进行静态分析,并监视docker守护程序和运行docker容器以检测异常活动
02-02
达格达 Dagda是一种工具,可对Docker映像/容器中的已知漏洞,特洛伊木马,病毒,恶意软件和其他恶意威胁进行静态分析,并监视Docker守护程序并运行Docker容器以检测异常活动。 为了完成其任务,首先要了解已知的漏洞,例如CVE(常见漏洞和披露),BID(Bugtraq ID),RHSA(Red Hat安全公告)和RHBA(Red Hat Bug公告),以及来自Offensive Security数据库的已知漏洞会导入到MongoDB中,以便在进行分析时方便搜索这些漏洞和利用。 然后,当您对已知漏洞进行静态分析时, Dagda会检索有关安装在Docker映像中的软件的信息,例如OS软件包和编程语言的依存关系,并针对每个产品及其版本进行验证(如果没有)针对先前存储到MongoDB中的信息的漏洞。 此外, Dagda将用作防病毒引擎,用于检测docker映像/容器中包含的木马,病毒,恶意软件和其他恶意威胁。 Dagda支持多个Linux基本映像: 红帽/ CentOS / Fedora Debian / Ubuntu OpenSUSE 高山的 Dagda依靠+ 来
授权访问:Docker授权访问漏洞
qq_68163788的博客
05-14 2476
Docker一个开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在生产环境中部署包括 VMs、bare metal、OpenStack 集群和其他的基础应用平台DockerDocker Remote API 是一个取代远程命令行界面(rcli)的REST API。 存在问题的版本分别为 1.3 和 1.6因为权限控制等问题导致可以通过 docker client 或者 http 直接请求就可以访问这个 API
Docker授权访问漏洞
qq_50854662的博客
10-18 1443
Docker授权访问漏洞
Docker远程接口授权访问漏洞解决方案之 Docker Remote API TLS 认证
myJavaHe的博客
03-15 2382
Docker远程接口授权访问漏洞解决方案之 Docker Remote API TLS 认证
提升权限_6个月没有补丁的Android 0 day权限提升漏洞
weixin_29503627的博客
12-30 137
9月4日,研究人员在网上公布了影响安卓移动操作系统的0 day漏洞。该漏洞位于Video for Linux (V4L2)驱动文件中,该文件用于安卓操作系统处理输入数据。输入恶意输入后,攻击者可以利用V4L2驱动文件来从低权限用户提升到root权限。但为了利用该漏洞,攻击者首先要在目标系统上获得执行低权限代码的能力。虽然该0 day漏洞并不能用于打破用户的手机,但可以让攻击者在初始感染后...
Docker漏洞的记录
mingyqf的博客
02-02 474
原文链接:https://www.cnblogs.com/peterpan0707007/p/15246853.html 原文链接:https://blog.csdn.net/weixin_46700042/article/details/109532502 侵删 【实战】Docker漏洞的记录] Docker容器的特点: 1.轻量级 在机器上运行的Docker容器共享该机器的操作系统内核; 他们使用更少的计算和内存。图像由文件系统层构建并共享公用文件。最大限度地减少了磁盘使用量。 2.标准 Docker
漏洞复现 - - -Docker授权访问漏洞
weixin_67503304的博客
08-16 5344
Docker授权访问漏洞docker授权写定时任务获取shell,详细概述了通过docker获取shell的方法。
镜像Hello Docker !
05-11
Hello Docker镜像是一个非常简单的Docker镜像,它包含一个可以输出"Hello Docker!"的应用程序。该镜像可以用来测试Docker环境是否正常工作,也可以用来演示如何创建、运行和管理Docker容器。 如果您想了解更多关于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值