开发者社区> dahukkk> 正文

CVE-2018-15664漏洞分析报告

简介: 近日来自SUSE的安全专家Aleksa Sarai公布了编号为CVE-2018-15664的docker相关高危安全漏洞,该漏洞的CVSS评分为8.7,影响面涵盖所有docker发行版本,攻击者可利用该漏洞逃逸出容器读取或篡改host或其他任意容器内的文件,当前docker官方已经给出了临时方案以降低攻击面并将于下个release版本发布。
+关注继续查看

  近日来自SUSE的安全专家Aleksa Sarai公布了编号为CVE-2018-15664的docker相关高危安全漏洞,该漏洞的CVSS评分为8.7,影响面涵盖所有docker发行版本,攻击者可利用该漏洞逃逸出容器读取或篡改host或其他任意容器内的文件,当前docker官方已经给出了临时方案以降低攻击面并将于下个release版本发布。

漏洞描述

  该漏洞的根因是使用FollowSymlinkInScope函数时触发TOCTTOU(time-of-check-to-time-of-use) 文件系统的竞争条件缺陷引起的。这段函数代码在docker源码中使用较多,最为直接的就是docker cp命令。根据Sarai的描述:FollowSymlinkInScope的作用是解析容器中运行进程的文件路径,而攻击者可以利用解析校验完成后和操作执行间的空隙修改cp文件为一个符号链接对应的目标文件,这样理论上该攻击者可能会以root身份访问到host上或其他容器内的任意文件。
  根据官方说明,攻击者首先要拥有docker cp命令的使用权限和目标容器的访问权限,且攻击只可能发生在拷贝过程中解析文件完成到执行copy动作的毫秒级窗口内。攻击具备一定的难度和相当的专业背景,因此docker容器的相关使用者也不必过于惊慌,下面我们介绍此次漏洞的相关修复进展。

修复措施:

  所幸”docker cp”命令是此次漏洞影响范围内唯一暴露的对外接口,docker社区也很快给出了临时性的修复方案,在该方案中,官方建议用户在使用docker cp命令前执行docker pause命令,并在结束cp命令后执行docker unpause。在下个月的release版本中,pause和unpause命令会被自动加入到cp命令的运行过程中,通过冻结容器的方式阻断copy过程中对容器文件数据的篡改。
  同时,Sarai也指出了该漏洞的根本修复方法在于修改chrootarchive中的归档逻辑,需要使用root作为容器的rootfs(而不是父目录,因为其可能已经被攻击者控制)。因为chrootarchive属于docker底层源码,改动会影响如Tar/Untar等多个相关接口,因此至今还没有根本性的修复,不过当前相关修复已经有了pr提交,相信社区也已有了相应的补丁计划。另外Sarai也提出了在内核层面的修改方案,当然这样的底层修改短期内应该不会被应用到docker对该漏洞的修复中去。

短期如何防范:

  此次漏洞的攻击前提是攻击者拥有docker cp命令的使用权限,阿里云容器服务集群默认开启了基于RBAC的访问控制,非法用户是没有cp命令在容器内的访问权限的。对于可能非法获得cp命令访问权限的攻击者,我们给出如下几个建议:

1) 控制docker cp命令的使用
2) 在使用docker cp命令的前后执行docker pause和docker unpause
3) 合理利用如AppArmor等工具限制容器内对host上敏感目录的访问权限并监控相关审计

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Pwn2Own2017专题:VMWARE UAF漏洞分析
本文讲的是Pwn2Own2017专题:VMWARE UAF漏洞分析,本文将讨论各种VMware主题,包括利用,扭转和虚拟化VMware目标,从虚拟客户端到执行代码。
1437 0
带你读《物联网渗透测试》之三:固件分析与漏洞利用
本书介绍物联网渗透测试的原理和实用技术。主要内容包括IOT威胁建模、固件分析及漏洞利用、嵌入式web应用漏洞、IOT移动应用漏洞、IOT设备攻击、无线电入侵、固件安全和移动安全最佳实践、硬件保护以及IOT高级漏洞的利用与安全自动化。
3579 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
29973 0
CVE-2018-15664漏洞分析报告
近日来自SUSE的安全专家Aleksa Sarai公布了编号为CVE-2018-15664的docker相关高危安全漏洞,该漏洞的CVSS评分为8.7,影响面涵盖所有docker发行版本,攻击者可利用该漏洞逃逸出容器读取或篡改host或其他任意容器内的文件,当前docker官方已经给出了临时方案以降低攻击面并将于下个release版本发布。
2474 0
java反序列化漏洞入门分析
参考文献: https://nickbloor.co.uk/2017/08/13/attacking-java-deserialization/amp/https://www.
1926 0
代码审计之DocCms漏洞分析
0x01 前言 DocCms[音译:稻壳Cms] ,定位于为企业、站长、开发者、网络公司、VI策划设计公司、SEO推广营销公司、网站初学者等用户 量身打造的一款全新企业建站、内容管理系统,服务于企业品牌信息化建设,也适应用个人、门户网站建设! 0x02 环境搭建 DocCms官网:http://www.
1801 0
针对CVE-2015-2545漏洞研究分析
本文讲的是针对CVE-2015-2545漏洞研究分析,这是一种MSOffice漏洞,允许通过使用特殊的 Encapsulated PostScript (EPS)图形文件任意执行代码。这种漏洞于2015年3月被发现,漏洞未修补情况持续了4个月。之后,
1424 0
+关注
0
文章
0
问答
来源圈子
更多
容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级 Kubernetes 容器化应用的全生命周期管理。容器服务 Kubernetes 版简化集群的搭建和扩容等工作,整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳的 Kubernetes 容器化应用运行环境。
+ 订阅
相关文档: 容器镜像服务 ACR 容器服务 ACK 服务网格 ASM
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载