docker容器_Docker 容器逃逸漏洞

最新推荐文章于 2024-06-18 13:31:09 发布
最新推荐文章于 2024-06-18 13:31:09 发布
阅读量207 收藏
点赞数
文章标签: docker容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35207054/article/details/113067410
版权

aadd6d97fe61b95f05d55068a4261fd3.png

2020年12月1日,阿里云应急响应中心监测到 containerd 官方发布安全更新,修复了 Docker 容器逃逸漏洞(CVE-2020-15257)。

漏洞描述

Containerd 是一个控制 runC 的守护进程,提供命令行客户端和 API,用于在一个机器上管理容器。在特定网络条件下,攻击者可通过访问containerd-shim API,从而实现Docker容器逃逸。阿里云应急响应中心提醒 containerd 用户尽快采取安全措施阻止漏洞攻击。

影响版本

containerd < 1.4.3

containerd < 1.3.9

安全版本

containerd >= 1.4.3

containerd >= 1.3.9

安全建议

1. 升级 containerd 至最新版本。

2. 通过添加如 deny unix addr=@**的AppArmor策略禁止访问抽象套接字。

相关链接

https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4

相关阅读:

万字长文:Docker容器安全性分析

万字长文:聊聊几种主流Docker网络的实现原理

万字长文:编写Dockerfiles最佳实践

神话还是现实?Docker和Kubernetes的完美架构

中小团队基于Docker的DevOps实践

Docker:物理机vs虚拟机,五方面详细对比!

基于Kubernetes和Docker构建微服务之路

吐血总结:最为详细的Docker入门指南

最新最全 2020 云状态报告「69页PDF下载」

RightScale 2019年云状况调查报告:35% 的云支出被浪费「附50页PDF下载」

更多文章请关注

37b6cec7ad8f3abcf656014a0fca559f.png

文章好看点这里[在看]?

Zhang.JunMing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker容器逃逸总结
SHELLCODE_8BIT的博客
03-12 2148
3.1 特权容器,特权容器下,所有capabiltiy都拥有,并且对设备/dev可见。1.1 条件竞争类dirtypipe + dac_search,dirtycow。以下几个如果被挂载,都会被可写,造成逃逸。1.2 内核漏洞,uaf等等。
容器逃逸知识分享.zip
11-11
容器逃逸是云计算和DevOps领域中的一个关键安全问题,主要涉及到Docker、Kubernetes等容器技术。在本文中,我们将深入探讨容器逃逸的概念、原因、危害以及防范措施,帮助你更好地理解和应对这一挑战。 一、容器逃逸...
Docker容器逃逸
weixin_44720441的博客
08-23 1190
Docker容器逃逸指的是攻击者通过劫持容器化业务逻辑或直接控制(CaaS等合法获得容器控制权的场景)等方式,已经获得了容器内某种权限下的命令执行能力;攻击者利用这种命令执行能力,借助一些手段进而获得该容器所在的直接宿主机(当遇到“物理机运行虚拟机,虚拟机再运行容器”的场景时,该场景下的直接宿主机指容器外层的虚拟机)上某种权限下的命令执行能力。
docker逃逸方法汇总与简要分析
白帽黑客鹏哥的博客
06-18 1024
Docker Remote API 是一个取代远程命令行界面(rcli)的REST API,它允许用户通过RESTful API与Docker引擎进行交互,这意味着开发人员可以使用HTTP请求来远程管理和控制Docker引擎,包括创建、启动、停止和删除容器,构建和管理镜像,以及执行其他与Docker相关的操作。
Docker 逃逸 漏洞复现
Jack_chao_的博客
03-27 1281
CVE-2020-15257-host模式容器逃逸漏洞分析
CVE Docker逃逸漏洞的复现
8888的博客
06-15 720
它允许开发者将他们的应用及其依赖包打包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上,并且实现虚拟化。docker可以安装软件,也可以安装一个操作系统。需要在不同操作系统中引入一个中间层,中间层很多版本,可以在Windows、Linux、centos等等的不同操作系统之间引入一个中间层,可以用来屏蔽底层环境的差异。靶机:需要先运行一个拥有命令行的镜像比如 ubuntu:18.04 ,我们需要在进入镜像,在容器的命令行执行下载远程恶意文件,我们给他增加权限,然后执行。
Docker SYS_ADMIN 容器逃逸原理解析
Jack_chao_的博客
03-27 939
如果notify_on_release启用(即值为1时),当cgroup不再包含任何任务时(即,cgroup的tasks文件里的PID为空时),系统内核会默认执行release_agent参数指定的文件里的内容。是对全局系统资源的一种封装隔离,使得处于不同 namespace 的进程拥有独立的全局系统资源,改变一个 namespace 中的系统资源只会影响当前 namespace 里的进程,对其他 namespace 中的进程没有影响。namespace是linux内核用来隔离内核资源的方案。
docker逃逸漏洞总结
weixin_35756130的博客
02-13 204
Docker 逃逸漏洞主要有两种:第一种是由于容器中的应用程序的设计错误而导致的;第二种是由于容器的安全设置不当而导致的。为了避免这两种漏洞,建议在部署容器时,应该采用一些安全的措施,如控制容器的访问权限、限制容器的网络通信等。 ...
Docker SYS_ADMIN 权限容器逃逸
m0_63306943的博客
03-02 1109
如果notify_on_release启用(即值为1时),当cgroup不再包含任何任务时(即,cgroup的tasks文件里的PID为空时),系统内核会默认执行release_agent参数指定的文件里的内容。若启动docker容器时给主机一个--cap-add=SYS_ADMIN的权限,攻击者可以在容器内通过挂载宿主机cgroup,并利用cgroup notify_on_release的特性在宿主机执行shell,从而实现容器逃逸。cgroup:限制资源分配的技术,限制docker的特定资源。
关于Docker逃逸
Aiwin的博客
03-22 2161
Docker逃逸复现
docker逃逸复现(CVE-2020-15257-host模式容器逃逸漏洞
m0_63306943的博客
02-28 1253
因为docker所使用的是隔离技术,就导致了容器内的进程无法看到外面的进程,但外面的进程可以看到里面,所以如果一个 Docker 容器内部可以操作该容器的外部资源,一般理解为操作宿主机的行为。叫做docker逃逸。host模式这种模式下,容器和主机已经没有网络隔离了,它们共享同一个网络命名空间,容器的网络配置和主机完全一样,使用主机的IP地址和端口,可以查看到主机所有网卡信息、网络资源,在网络性能上没有损耗。但也正是因为没有网络隔离,容器和主机容易产生网络资源冲突、争抢,以及其他的一些问题。
docker容器逃逸学习笔记
qq_42511731的博客
08-11 451
Docker所使用的是隔离技术,就导致了容器内的进程无法看到外面的进程,但外面的进程可以看到里面,所以如果一个容器可以访问到外面的资源,甚至是获得了宿主主机的权限,这就叫做“Docker逃逸”。...
Docker容器安全性解决方案.pdf
10-11
容器虚拟化安全风险是指容器虚拟化技术中可能存在的一些安全问题,例如容器逃逸、权限提升等。例如,攻击者可以通过容器逃逸来访问宿主机的资源,从而导致安全问题。 网络安全风险是指容器之间或容器与外部网络之间...
Docker逃逸:从一个进程崩溃讲起.pdf
08-08
本议题会简单的介绍Docker和Apport并分享如何通过一个Apport漏洞来完成Docker逃逸。 From a crash to docker escape •Basics of docker •An apport vulnerability •A way to leverage CVE-2018-6552•Demo
容器安全实战化解决方案.pdf
06-26
攻击者可能会利用容器间的相邻关系,或者利用逃逸漏洞容器逃逸到宿主机,进一步扩大攻击范围。 青藤云安全的解决方案遵循“一个体系、两个方向、四个环节”的云原生安全框架。一个体系指的是全面的安全管理体系,...
2024年全球资产管理报告:AI与下一轮转型浪潮-BCG.pdf
08-02
2024年全球资产管理报告:AI与下一轮转型浪潮-BCG.pdf
电子书:探索人工智能在 OSINT 中的作用中文版.pdf
08-02
电子书:探索人工智能在 OSINT 中的作用中文版.pdf
基于Springboot的线上历史馆藏系统(有报告) Javaee项目,springboot项目
最新发布
08-02
资源详情:https://blog.csdn.net/2302_78191516/article/details/140881816
Docker安全漏洞逃逸机制解析
Docker逃逸指的是攻击者在容器内部成功突破容器的隔离限制,对宿主机或其它容器造成影响。以下将详细探讨Docker的6大Namespace以及其与逃逸原理的关系。 1. **PID Namespace(进程命名空间)**: PID Namespace ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值