Docker runC 严重安全漏洞导致容器逃逸修复方法(CVE-2019-5736 )

最新推荐文章于 2024-04-02 07:30:26 发布
最新推荐文章于 2024-04-02 07:30:26 发布
阅读量2.8k 收藏 5
点赞数
分类专栏: Liunx运维 漏洞修复 文章标签: tomcat php linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangyuxun3/article/details/123837664
版权

漏洞详情:

Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。

影响范围:

对于阿里云容器服务来说,影响范围:
Docker版本 < 18.09.2 的所有Docker Swarm集群和Kubernetes集群(不包含Serverless Kubernetes集群)
对于用户自建Docker/Kubernetes环境:
Docker版本 < 18.09.2 或者使用 runc版本 <= 1.0-rc6的环境,请自行根据厂商建议进行修复。

查询版本

注意:Centos和Ubuntu的Docker-runC 版本查询方法略有不同,可以分别通过下面的命令进行查询。

#Centos7版本
docker version

输入完成后会有如下的截图,注意红框部分,可以看到Docker runC的版本。
在这里插入图片描述

#Ubuntu 16.04版本
runc-version

在这里插入图片描述

修复方法

方法一:新建k8s 1.11或1.12集群。容器服务新创建的1.11或1.12版本的Kubernetes集群已经包含修复该漏洞的Docker版本。
方法二:升级Docker。升级已有集群的Docker到18.09.2或以上版本。该方案会导致容器和业务中断。
方法三:仅升级runc(针对Docker版本17.06)。为避免升级Docker引擎造成的业务中断,可以按照下面的操作说明,逐一进行升级。

#查询Docker runC文件存放位置,Centos7一般安装在/usr/bin/下。Ubuntu位置略有不同,为简化操作,本文以Centos7为例
which docker-runc
#执行以下命令备份原有的runc:
mv /usr/bin/docker-runc /usr/bin/docker-runc.orig.$(date -Iseconds)
#执行以下命令下载修复的runc:
curl -o /usr/bin/docker-runc -sSL https://acs-public-mirror.oss-cn-hangzhou.aliyuncs.com/runc/docker-runc-17.06-amd64
#执行以下命令设置docker-runc的可执行权限:
chmod +x /usr/bin/docker-runc
#执行以下命令测试runc版本是否已得到升级
docker version
张宇勋工程师
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2024-21626 容器逃逸漏洞+修复方式
xdxghy0921
02-08 1683
CVE-2024-21626处理方案
漏洞复现】Docker runC 容器逃逸漏洞(CVE-2019-5736)
做自己喜欢的事,并将其发挥到极致!
12-09 4909
2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CRI-O等默认运行时容器runc严重漏洞CVE-2019-5736。漏洞会对IT运行环境带来威胁,漏洞利用会触发容器逃逸、影响整个容器主机的安全,最终导致运行在该主机上的其他容器被入侵。漏洞影响AWS, Google Cloud等主流云平台。日前,该容器逃逸漏洞的PoC利用代码已在GitHub上公布。
runc 文件描述符泄漏漏洞CVE-2024-21626)及处理方法
最新发布
weixin_43962030的博客
04-02 780
runc 文件描述符泄漏漏洞及处理方法
CVE-2019-11043-Docker
04-25
带有易受攻击PHP-FPM版本(CVE-2019-11043)和nginx的docker映像。 跑步 docker run --rm -p8080:80 akamajoris/cve-2019-11043您应该能够通过以下网址访问Web应用程序: 。 开发 从https://github.com/neex/phuip-fpizdam构建二进制文件,然后 root@debian:~/gopath/bin# curl "localhost:8080/?a=/bin/sh+-c+'which+which'" 1 root@debian:~/gopath/bin#./phuip-fpizdam http://localhost:8080/index.php 2019/10/24 08:53:00 Base status code is 200 2019/10/24 08:53:00 Status
docker逃逸漏洞——CVE-2019-5736
a505964648的博客
02-15 706
Docker、containerd或者其他基于runc容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。docker runc容器逃逸漏洞CVE-2019-5736)发生在runc模块(也叫容器运行时)。编译poc(需要安装golang-go和gccgo-go)修改后的poc(记得将sh修改为bash启动)假设管理员进入docker容器。就可以看shell就反弹成功了。
docker runc 版本升级
热门推荐
桐原因的博客
01-12 1万+
1.背景: runc是一个轻量级通用容器运行环境,它允许一个简化的探针到运行和调试的底层容器的功能,不需要整个docker守护进程的接口。 runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。攻击者可利用该漏洞在未授权的情况下,构造恶意数据造成容器逃逸,最终造成服务器敏感性信息泄露。 2.解决方案 将 runc
Docker Runc容器逃逸漏洞CVE-2021-30465)离线修复
THZLYXX的博客
02-02 897
runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。如果采取替换runc二进制文件进行漏洞修复,针对不同的操作系统发行版,需要替换对应操作系统发行版提供的runc二进制文件。runc官方下载链接:https://github.com/opencontainers/runc/releases/6.检查runc版本。
[漏洞修复]Docker runc容器逃逸漏洞(CVE-2021-30465)
水布天
04-11 2332
runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。runc是一个轻量级通用容器运行环境,它允许一个简化的探针到运行和调试的底层容器的功能,不需要整个docker守护进程的接口。如果采取替换runc二进制文件进行漏洞修复,针对不同的操作系统发行版,需要替换对应操作系统发行版提供的runc二进制文件。
Runc 漏洞CVE-2021-30465)离线修复
yshir
02-29 193
runCDocker,Kubernetes 等依赖容器的应用程序的底层容器运行时。容器安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。漏洞名称:runc 路径遍历漏洞/Docker runc容器逃逸漏洞修复策略:将 runc 升级到 1.0.0-rc95 及以上版本。下载runc 1.0-rc95 runc.amd64。CVE 编号:CVE-2021-30465。2.2 检查runc版本。2.5 替换二进制文件。
Docker组件介绍:runc和containerd
phone1126的专栏
11-18 1605
Docker组件介绍:runc和containerd
CVE-2019-5736-PoC验证环境需要的文件docker18.03,go1.9
10-20
CVE-2019-5736验证环境需要的文件 docker18.03 docker-ce-18.03.1.ce-1.el7.centos.x86_64.rpm docker-ce-19.03.9-3.el7.x86_64.rpm docker-ce-cli-19.03.9-3.el7.x86_64.rpm docker-ce-selinux-17.03.2.ce-1.el7....
CVE-2019-15642:Webmin远程执行代码(已认证)
03-10
CVE-2019-15642 Webmin远程执行代码(已认证) python用法: python CVE-2019-15642.py https://xxx.xxx.xxx:10000 "cat /etc/passwd" Webmin的0x01泊坞窗 cd ~/vulhub/webmin/CVE-2019-15107 docker-compose up -...
CVE-2019-5736-PoC-master.zip
02-08
CVE漏洞复现-CVE-2019-5736 Docker逃逸
解决docker安装docker-runc报错
真理部
03-06 6518
在CentOS7.2上执行了 [root@NC2-WAFXJS-SEV158-25 ~]# rpm -ivh docker-ce-17.12.1.ce-1.el7.centos.x86_64.rpm [root@NC2-WAFXJS-SEV158-25 ~]# rpm -ivh container-selinux-2.9-4.el7.noarch.rpm 启动容器时报错docker-runc di...
查看docker版本
weixin_30586257的博客
03-11 7121
[root@localhost ~]# docker --versionDocker version 1.13.1, build 07f3374/1.13.1[root@localhost ~]# [root@localhost ~]# docker infoContainers: 10 Running: 10 Paused: 0 Stopped: 0Images: 6Server Version...
常见的Docker容器漏洞总结
Python专栏
06-30 794
关注“网络安全学习圈”微信公众号,回复暗号,立即领取最新。
CentOS7安装runc
luckySnow的博客
12-25 2345
本文记录CentOS7安装runc的过程。RunC 是一个轻量级的工具,它是用来运行容器的,只用来做这一件事,并且这一件事要做好。我们可以认为它就是个命令行小工具,可以不用通过 docker 引擎,直接运行容器。事实上,runC 是标准化的产物,它根据 OCI 标准来创建和运行容器。而 OCI(Open Container Initiative)组织,旨在围绕容器格式和运行时制定一个开放的工业化标准。以上就是今天runc安装的过程,本文简单介绍了runc以及runc安装的步骤。
dockernginx 安全漏洞(cve-2019-9511)不升级
01-23
docker是一款用于构建、发布和运行应用程序的开源平台。而Nginx是一款流行的开源的Web服务器软件。CVE-2019-9511是指Nginx在处理大量特定的HTTP/2请求时可能会导致远程的拒绝服务攻击。 如果不升级docker中的Nginx,就意味着仍然存在这个安全漏洞,可能会导致服务器遭受拒绝服务攻击。在遭受攻击时,服务器将无法正常处理用户的请求,从而导致服务不可用。这不仅会影响用户体验,还可能导致数据丢失、服务中断等严重后果。 对于企业而言,安全漏洞的存在可能会引发法律责任问题,因为企业需要承担用户数据泄露或服务中断所带来的责任。此外,还可能面临声誉受损、业务损失等问题。因此,即使在Nginx中发现了安全漏洞,也要及时升级修复,以保障服务器和应用程序的正常运行。 为了解决这个问题,首先需要及时了解CVE-2019-9511的修复情况,并及时查找Nginx的安全升级版本。随后,需要安排技术人员进行升级工作,确保Nginx的版本得到及时修复。为了防止类似漏洞再次出现,还需要加强对docker环境的安全监控和漏洞扫描,及时发现和解决安全问题。 综上所述,不升级docker中的Nginx安全漏洞可能会导致严重的后果,因此必须及时进行修复和升级工作,保障服务器和应用程序的安全运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值