2月12日,春节刚过。朋友圈就看到《runC爆严重漏洞:Kubernetes、Docker等中招》的消息。
runC 是 Docker,Kubernetes 等依赖容器的应用程序的底层容器运行时。此次爆出的严重安全漏洞可使攻击者以 root 身份在主机上执行任何命令。
容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。
2019年2月11日,研究人员通过oss-security邮件列表(https://www.openwall.com/lists/oss-security/2019/02/11/2)披露了runc容器逃逸漏洞的详情,根据OpenWall的规定EXP将在2019年2月18日公开。
同样2月12日,阿里云文档中心已经发布《修复runc漏洞CVE-2019-5736的公告》。
阿里云容器服务已修复runc漏洞CVE-2019-5736。本文介绍该漏洞的影响范围及解决方法。
背景:Docker、containerd或者其他基于runc的容器在运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作获取到宿主机runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。
在云栖社区的Kubernetes社区大群(钉钉群已近1000人)中,已有同学询问:
阿里的k8s容器服务已经修复了? 无需人工处理?
群主回复:新集群不受影响。老集群需要手动升级docker或者runc受影响的版本,可根据文档中具体的修复步骤进行操作。
更多讨论与观点,欢迎参加相关聚能聊话题
想查阅更多内容,欢迎关注“容器服务Docker&Kubernetes”的云栖号。
如想与更多志同道合的开发者一起交流,欢迎在公告及博文下方,或进钉群讨论。
Kubernetes社区大群入群方式:
一:点击链接即可入群:https://dwz.cn/G2EELckH
二:扫描下方二维码进群:
