Runc和CVE-2019-5736

最新推荐文章于 2024-05-08 11:07:42 发布
最新推荐文章于 2024-05-08 11:07:42 发布
阅读量202 收藏
点赞数
文章标签: 运维 区块链 嵌入式
原文链接:https://segmentfault.com/a/1190000018138550
版权

2月11日早上有宣布关于runc中的容器逃逸漏洞。我们希望为Kubernetes用户提供一些指导,以确保每个人都安全。

Runc是什么?

简单来说,runc是一个低层工具,它负责大量生成Linux容器。Docker、Containerd和CRI-O等其他工具位于runc之上,用于处理数据格式化和序列化等问题,但runc是所有这些系统的核心。

Kubernetes位于这些工具之上,因此虽然Kubernetes本身的任何部分都不容易受到攻击,大多数Kubernetes安装都使用了runc。

这个漏洞是关于?

虽然完整的细节仍然被禁止以提供人们时间补丁,但粗略的版本是:当在容器内以root(UID 0)运行进程时,该进程可以利用runc中的错误来获取运行容器的主机的root权限。然后,这允许他们无限制地访问服务器以及该服务器上的任何其他容器。

如果容器内的进程是可信任的(是你知道的东西而不是敌对的)或者没有以UID 0运行,则不受该漏洞影响。如果已应用适当的政策,SELinux也可以阻止它。RedHat Enterprise Linux和CentOS都在其软件包中包含适当的SELinux权限,因此如果启用SELinux,则应该不受影响。

最常见的风险来源是攻击者-控制器(attacker-controller)容器镜像,例如来自公共存储库的未经审查的镜像。

我该怎么办?

与所有安全问题一样,两个主要选项是缓解漏洞,或将runc版本升级到包含此修补程序的版本。

由于漏洞需要容器内的UID 0,因此直接缓解是确保所有容器都以非0用户身份运行。这可以在容器镜像中设置,也可以通过pod规范设置:

apiVersion: v1
kind: Pod
metadata:
  name: run-as-uid-1000
spec:
  securityContext:
    runAsUser: 1000
  # ...

这也可以使用PodSecurityPolicy全局实施:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: non-root
spec:
  privileged: false
  allowPrivilegeEscalation: false
  runAsUser:
    # Require the container to run without root privileges.
    rule: 'MustRunAsNonRoot'

考虑到在容器内作为UID 0运行的整体风险,强烈建议设置这样的政策。

另一个潜缓解措施是确保所有容器镜像都经过审查和可信任。这可以通过自己构建所有镜像,或者通过审查镜像的内容然后固定到镜像版本哈希来实现(image:external/someimage@sha256:7832659873hacdef)。

升级runc通常可以通过升级你的发行版的软件包runc,或通过升级你的操作系统镜像(如果使用不可变镜像)来完成。这是各种发行版和平台的已知安全版本列表:

  • Ubuntu - runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1
  • Debian - runc 0.1.1+dfsg1-2
  • RedHat Enterprise Linux - docker 1.13.1-91.git07f3374.el7 (if SELinux is disabled)
  • Amazon Linux - docker 18.06.1ce-7.25.amzn1.x86_64
  • CoreOS - 2051.0.0
  • Kops Debian - in progress
  • Docker - 18.09.2

一些平台还发布了更具体的说明:

Google Container Engine (GKE)

Google发布了一份包含更多详细信息的安全公告,但简而言之,如果你使用默认的GKE节点镜像,那么你就是安全的。如果你使用的是Ubuntu节点镜像,则需要缓解或使用已知安全版本的runc来升级镜像。

Amazon Elastic Container Service for Kubernetes (EKS)

亚马逊还发布了一份包含更详细信息的安全公告。所有EKS用户都应该缓解问题或升级到新节点镜像。

Docker

我们没有具体确认Docker for Mac和Docker for Windows是易受攻击的,但似乎很可能。Docker发布了18.09.2版本的修复程序,建议你升级到它。这也适用于使用Docker的其他部署系统。

如果您无法升级Docker,Rancher团队已在github.com/rancher/runc-cve上为许多旧版本提供了修复的后端。

获取更多信息

如果你对此漏洞如何影响Kubernetes有任何疑问,请通过discuss.kubernetes.io加入我们的讨论。

如果你想与runc团队取得联系,你可以通过Google网上论坛或Freenode IRC上的#opencontainers与他们联系。

KubeCon + CloudNativeCon中国论坛提案征集(CFP)2月22日截止

KubeCon + CloudNativeCon 论坛让用户、开发人员、从业人员汇聚一堂,面对面进行交流合作。与会人员有 Kubernetes、Prometheus 及其他云原生计算基金会 (CNCF) 主办项目的领导,和我们一同探讨云原生生态系统发展方向。

中国开源峰会提案征集(CFP)2月22日截止

在中国开源峰会上,与会者将共同合作及共享信息,了解最新和最有趣的开源技术,包括Linux、IoT、区块链、AI、网络等;并获得如何在开源社区中导向和引领的信息。

大会日期:

  • 提案征集截止日期:太平洋标准时间 2 月 22 日,星期五,晚上 11:59
  • 提案征集通知日期:2019 年 4 月 8 日
  • 会议日程通告日期:2019 年 4 月 10 日
  • 会议活动举办日期:2019 年 6 月 24 至 26 日

提醒:这是一场社区会议。因此,让我们尽量避开公然推销产品和/或供应商销售宣传。

KubeCon + CloudNativeCon + Open Source Summit赞助方案出炉

KubeCon + CloudNativeCon + Open Source Summit多元化奖学金现正接受申请

KubeCon + CloudNativeCon + Open Source Summit即将首次合体落地中国

weixin_34270865
关注
容器逃逸Docker runcCVE-2019-5736)漏洞复现与分析
SHELLCODE_8BIT的博客
08-08 1052
【代码】Docker runccve-2019-5736)漏洞复现与分析。
【漏洞复现】Docker runC 容器逃逸漏洞(CVE-2019-5736)
做自己喜欢的事,并将其发挥到极致!
12-09 5310
2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CRI-O等默认运行时容器runc的严重漏洞CVE-2019-5736。漏洞会对IT运行环境带来威胁,漏洞利用会触发容器逃逸、影响整个容器主机的安全,最终导致运行在该主机上的其他容器被入侵。漏洞影响AWS, Google Cloud等主流云平台。日前,该容器逃逸漏洞的PoC利用代码已在GitHub上公布。
【Linux】kaili实现CVE-2019-5736漏洞复现
2302_76195174的博客
04-29 1525
Docker逃逸是一个安全问题,指的是攻击者从Docker容器逃逸到宿主机系统,获取更高的权限,从而控制整个系统。下面我将详细介绍Docker逃逸的原理、常见方法以及如何防范。
docker逃逸漏洞复现(CVE-2019-5736
网络安全。
01-29 1万+
0x01 概述 2019年2月11日,runC的维护团队报告了一个新发现的漏洞,该漏洞最初由Adam Iwaniuk和Borys Poplawski发现。该漏洞编号为CVE-2019-5736,漏洞影响在默认设置下运行的Docker容器,并且攻击者可以使用它来获得主机上的root级访问权限。 0x02 漏洞原理 漏洞点在于runC,RunC是一个容器运行时,最初是作为Docker的一部分开发的,后...
CVE-2019-5736复现
PMJ的博客
11-27 1479
CVE-2019-5736:覆盖宿主机上的runC文件 背景 执行功能类似docker exec等是,底层实际上都是容器运行时在操作,如runC 相应的runc exec命令会被执行,最终效果是在容器内部执行用户执行的程序,就是在容器的各种命名空间内,受到各种限制(Cgroups)的情况下,启动一个进程。除此以外,与在宿主机上执行一个程序并无二致。 执行过程: runC启动,加入容器的命名空间 以自身(/proc/self/exe)为范本启动一个子进程 /proc/[PID]/exe:特殊的符号链接,又
CVE漏洞复现-CVE-2019-5736 Docker逃逸
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-22 3464
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口Docker环境和普通生产环境的差异在哪呢?举个列子,在普通的生产环境中,我们程序员写的代码产品在开发环境中能够运行起来,但却在测试环境中很容易出现各种的Bug,报错,这是因为两个环境中机器的配置和环境不一样所导致的而Docker的出现解决了这一差异性的问题。
容器逃逸漏洞分析 CVE-2019-5736
weixin_31610083的博客
01-01 1153
本文详细分析了基于runc覆写的经典容器逃逸漏洞(CVE-2019-5736),从理论分析漏洞利用路径到用strace采集具体的执行步骤,对该漏洞每一步的原理和行为进行剖析。
Docker逃逸--runc容器逃逸漏洞(CVE-2019-5736)
热门推荐
07-26 2万+
漏洞简述: 攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 利用条件: Docker版本 < 18.09.2,runc版本< 1.0-rc6。(在Docker 18.09.2之前的版本中使用了的runc版本小于1.0-rc6。) 可通过 docker 和docker-r...
CVE-2019-5736docker容器逃逸漏洞复现
dirich的博客
11-23 253
容器逃逸是指这样一种过程和结果:首先,攻击者通过劫持容器化业务逻辑,或直接控制(Caas等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力;攻击者利用这种命令执行能力,借助一些手段进一步获得该容器所在直接宿主机(常见到“物理机运行虚拟机,虚拟机运行容器”的场景,该场景下的直接宿主机指容器外层的虚拟机)上某种权限下的命令执行能力。如果出现以下报错可能是网络的问题,换一个网络即可(我当时用的是公司的网,所以报错,换成自己的网络就好了),然后重新执行以上命令即可。
复现CVE-2019-5736漏洞
qq_40282835的博客
03-15 1694
漏洞详情 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 影响范围 Docker版本 < 18.09.2 或者 runc版本 <= 1.0-rc6的环境 预备知识 Linux命名空间Namespace 以docker自身视角查看容器内进程 docker exec container_id ps -ef
docker逃逸漏洞——CVE-2019-5736
a505964648的博客
02-15 746
Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。docker runc容器逃逸漏洞(CVE-2019-5736)发生在runc模块(也叫容器运行时)。编译poc(需要安装golang-go和gccgo-go)修改后的poc(记得将sh修改为bash启动)假设管理员进入docker容器。就可以看shell就反弹成功了。
Docker文档
qq765499757的博客
09-02 3233
一:docker简介 1.1:什么是docker Docker 最初是 dotCloud 公司创始人 Solomon Hykes 在法国期间发起的一个公司内部项目, 它是基于 dotCloud 公司多年云服务技术的一次革新,并于 2013 年 3 月以 Apache 2.0 授权 协议开源,主要项目代码在 GitHub 上进行维护。Docker 项目后来还加入了 Linux 基金会, 并成立推动 开放容器联盟(OCI)。 Docker 自开源后受到广泛的关注和讨论,至今其 GitHub 项目已经超过
云安全CVE漏洞复现-CVE-2019-5736 Docker逃逸
m0_75152875的博客
12-04 312
1.解释docker逃逸和镜像投毒 2.熟练掌握云安全CVE漏洞复现-CVE-2019-5736 Docker逃逸 3.详细介绍POC、EXP、Payload与Shellcode
【云原生渗透】- docker runc容器逃逸漏洞(CVE-2019-5736)
神棍之路
01-11 1339
运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。containerd 向下通过 containerd-shim 结合 runC,使得引擎可以独立升级,避免之前 Docker Daemon 升级会导致所有容器不可用的问题。将该payload拷贝到docker容器中(这就是模拟攻击者获取了docker容器权限,在容器中上传payload进行docker逃逸)
docker runc 版本升级
桐原因的博客
01-12 1万+
1.背景: runc是一个轻量级通用容器运行环境,它允许一个简化的探针到运行和调试的底层容器的功能,不需要整个docker守护进程的接口。 runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。攻击者可利用该漏洞在未授权的情况下,构造恶意数据造成容器逃逸,最终造成服务器敏感性信息泄露。 2.解决方案 将 runc
runc 文件描述符泄漏导致容器逃逸漏洞(CVE-2024-21626)
最新发布
小小的木头人的博客
05-08 780
升级runc版本号 >= 1.1.12。
Docker逃逸漏洞复现(CVE-2019-5736
blue_fantasy的博客
01-10 905
Text. 0x00 概述 2019年2月11日,runc的维护团队报告了一个新发现的漏洞,该漏洞最初由Adam Iwaniuk和Borys Poplawski发现。该漏洞编号为CVE-2019-5736,漏洞影响在默认设置下运行的Docker容器,并且攻击者可以使用它来获得主机上的root级访问权限。 0x01 漏洞原理 漏洞点在于runc,runc是一个容器运行时,最初是作为Docker的一部分开发的,后来作为一个单独的开源工具和库被提取出来。作为“低级别”容器运行时,runc
Debian11之Docker稳定版本安装
李大能
04-30 1万+
Debian11之Docker安装
linux runc升级
09-20
Linux Runc是一个用于创建和运行容器的工具,它是Docker的底层容器运行时。对Linux Runc进行升级有以下几个步骤。 1. 查看当前Runc版本:可以在终端中使用命令runc -v或runc version来查看当前安装的Runc版本。 2. 下载最新版本Runc源代码:可以从Runc的官方GitHub仓库上下载最新版本的源代码,也可以通过Git工具从远程仓库克隆到本地。 3. 构建Runc二进制文件:进入Runc源代码目录,运行make命令可以编译生成Runc的二进制文件,这个文件将被用于替换当前的Runc二进制文件。 4. 备份原有的Runc二进制文件:在替换Runc之前,建议备份原有的Runc二进制文件,以防出现问题需要回滚。 5. 替换Runc二进制文件:将编译生成的Runc二进制文件复制到/usr/bin/或者/usr/local/bin目录下,并确保它具有可执行权限。 6. 验证Runc升级是否成功:在终端中运行runc -v或runc version命令来验证是否成功升级到最新版本的Runc。 7. 完成升级:如果以上步骤都顺利完成,那么恭喜你,已经成功升级了Linux Runc。 需要注意的是,升级Runc之前,建议先了解新版本的变化和重要更新,以确保升级过程不会出现兼容性或其他问题。此外,升级操作需要root权限,因此请谨慎进行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值