背景資訊
基於runc執行時的容器存在安全漏洞,攻擊者可以通過惡意容器映象等方式獲取宿主機root執行許可權。漏洞cve-2019-5736的詳細資訊,請參見
漏洞原理分析
本次漏洞典型的攻擊方式是通過惡意映象:在惡意映象中,將攻擊函式隱藏在惡意動態庫如(libseccomp.so.2)中,並使執行命令指向/proc/self/exe。
當runc動態編譯時,會從容器映象中載入動態鏈結庫,導致載入惡意動態庫;當開啟/prco/self/exe即runc時,會執行惡意動態鏈結庫中的惡意程式,由於惡意程式繼承runc開啟的檔案控制代碼,可以通過該檔案控制代碼替換host上的runc。
此後,再次執行runc相關的命令,則會產生逃逸。
影響範圍
本次漏洞對所有採用runc的容器引擎均生效,runc是docker容器的核心元件,因此對絕大部分容器均會產生影響。其中主要影響的是多使用者共享節點的場景,可導致某使用者通過滲透進而控制節點並攻擊整集群。
華為雲cce容器服務:
cce容器服務建立的kubernetes集群屬於單租戶專屬,不存在跨租戶共享,影響範圍較小,對於多使用者場景需要關注。
當前cce採用華為優化的isula docker容器,其中runc採用靜態編譯,目前公開披露的攻擊方法無法成功入侵。為確保容器服務安全穩定執行,cce容器服務將會在近日對在執行docker容器進行熱公升級。
華為雲cci容器例項服務:
cci引擎採用華為isula kata容器引擎,提供單節點上多容器高安全的hypervisor級別的隔離能力,並沒有採用runc容器,因此本次漏洞將不會對cci產生影響。
修復方法
華為雲cce容器服務:
自建kubernetes或使用開源容器引擎:
· 公升級docker到18.09.2版本, 由於開源docker在17.06之後的版本做了較大變更,涉及架構解耦重構,該辦法可能會導致使用者容器業務中斷,建議做好充分驗證,並按節點逐步滾動公升級。
· 僅公升級runc,對於17.06等docker版本,可以不中斷已執行業務,當前runc官方尚未發布包含漏洞修復補丁的新版本,如果要單獨公升級runc,使用者可自行編譯。
· 另特別提醒,本次docker官方補丁使用了高版本linux核心的系統呼叫,在低版本核心部分版本上可能會失效,若補丁失效時,建議公升級至3.17以上核心。華為雲cce容器服務提供的補丁針對官方補丁進行了優化適配,已驗證在多版本核心上均可生效。
騰訊雲發布runC容器逃逸漏洞修復公告
您好 unc被爆存在容器逃逸漏洞,攻擊者可以在利用該漏洞覆蓋 host上的runc檔案,從而在 host上以root許可權執行 漏洞詳情 runc 是乙個輕量級通用容器執行環境,它是乙個命令列工具,可以根據開放容器方案 open container initiative 生成和執行容器,該漏洞若被利...
騰訊雲發布runC容器逃逸漏洞修復公告
漏洞詳情 runc是乙個輕量級通用容器執行環境,它是乙個命令列工具,可以根據開放容器方案 open container initiative 生成和執行容器,該漏洞若被利用,會允許惡意容器 以最少的使用者互動 覆蓋host上的runc檔案,從而在host上以root許可權執行 進而攻擊其它容器或ho...
騰訊雲發布runC容器逃逸漏洞修復公告
漏洞詳情 runc是乙個輕量級通用容器執行環境,它是乙個命令列工具,可以根據開放容器方案 open container initiative 生成和執行容器,該漏洞若被利用,會允許惡意容器 以最少的使用者互動 覆蓋host上的runc檔案,從而在host上以root許可權執行 進而攻擊其它容器或ho...