写点什么

runc 容器逃逸漏洞最强后续:应对之策汇总与热点疑问解答

  • 2020-04-23
  • 本文字数:2654 字

    阅读完需:约 9 分钟

runc容器逃逸漏洞最强后续:应对之策汇总与热点疑问解答

美国时间 2019 年 2 月 11 日晚,runc 通过 oss-security 邮件列表披露了 runc 容器逃逸漏洞 CVE-2019-5736 的详情。runc 是 Docker、CRI-O、Containerd、Kubernetes 等底层的容器运行时,此次安全漏洞无可避免地会影响大多数 Docker 与 Kubernetes 用户,也因此为整个业界高度关注。


漏洞披露后,Docker 在第一时间发布了两个版本 18.06.2 和 18.09.2,这两个版本都可以修复 runc 漏洞。Rancher Labs 极速响应,Rancher Kubernetes 管理平台和 RancherOS 操作系统均在 不到一天时间内 紧急更新,是业界 第一个紧急发布新版本支持 Docker 补丁版本的平台 ,并持严谨态度在 oss-security 邮件列表披露漏洞后的 五小时内连夜邮件通知 所有 Rancher 用户此次漏洞的详情及应对之策。


更值得一提的是,尽管 Docker 发布了修复版本,但因为不是所有用户都能轻易将生产环境中的 Docker 版本升至最新, Rancher 帮忙将修复程序反向移植到所有版本的 Docker 并提供给用户。且目前 Docker 官方提供的修复版本并不支持 3.x 内核(只兼容 4.x 内核),而 runc 的开发者特意向 Rancher 提交了支持 3.x 内核的 PR,目前 PR 已合并,Rancher 提供的方案现已可以支持 3.x 内核。


runc 安全漏洞事件背景

runc 是一个根据 OCI(Open Container Initiative)标准创建并运行容器的 CLI tool,目前 Docker 引擎内部也是基于 runc 构建的。2019 年 2 月 11 日,研究人员通过 oss-security 邮件列表披露了 runc 容器逃逸漏洞的详情,根据 OpenWall 的规定 EXP 会在 7 天后也就是 2019 年 2 月 18 日公开。


此漏洞允许以 root 身份运行的容器以特权用户身份在主机上执行任意代码。 这意味着容器可能会破坏 Docker 主机(覆盖 Runc CLI),而所需要的只是能够使用 root 来运行容器。攻击者可以使用受感染的 Docker 镜像或对未受感染的正在运行的容器运行 exec 命令。



Rancher 在 12 号当天已通过公众号文章详细分析了漏洞详情和用户的应对之策。相信目前大部分用户已经对漏洞已经有了初步的了解,甚至在 Github 上已经有人提交了 EXP 代码。Rancher 在第一时间完成了补丁修复,并向企业用户推送的修复方案。同时在我们也收到了大量来自社区用户在后台的提问,为了疏解种种谜团,这篇后续文章,我们将选取大家重点关注的一些热点疑问进行进一步的解答。

热点问题

非特权容器也能发起攻击吗?

答案是 肯定的 ,Rancher 安全团队在第一时间做了一些测试,即使运行容器时不使用 privileged 参数,一样可以发起攻击。因为这个漏洞核心要素在于,容器内的用户是否对 runc 有访问权限, 容器内默认是 root 用户,只是这个 root 是受限制的 root,但是它是具有对 runc 的访问权限,所以一定可以发起攻击。

主机上不用 root 用户启动容器可以避免攻击吗?

答案是 无法避免 ,如上一个问题分析,它和容器内的用户有关,至于在主机上以什么用户启动无关。Rancher 安全团队在 Ubuntu 系统上做了测试,即使使用 ubuntu 用户启动容器, 依然可以完成对 runc 的替换。

更新官方 Docker 的注意事项

Docker 也在第一时间发布了两个版本 18.06.2 和 18.09.2,这两个版本都可以修复 runc 漏洞,但是你需要注意的是他们都 只兼容 4.x 内核 ,如果你的系统依然使用的 3.x 内核, 请谨慎使用,因为它基本不会起作用,甚至可能导致额外的问题。


Ubuntu 14.04 customers using a 3.13 kernel will need to upgrade to a supported Ubuntu 4.x kernel


参考两个版本的 RN:


Kubernetes 用户怎么办?

使用 K8s 的用户都很清楚,K8s 并不能兼容太高的 Docker 版本,所以更新官方 Docker 版本是很难的一件事,为此 K8s 官方特意发表了一篇 Blog:https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/ 。 主要思想就是,不要在容器中使用 root,它推荐的方案是使用 PodSecurityPolicy。当然很多用户修改 PodSecurityPolicy 后可能会引发各种问题,所以它也推荐用户更新 Docker。 同时它也提到,不能更新 Docker 的用户,可以使用 Rancher 提供的方案,Rancher 为每个版本都移植了补丁:


If you are unable to upgrade Docker, the Rancher team has provided backports of the fix for many older versions at github.com/rancher/runc-cve.


如何使用 Rancher 提供的补丁?

如上一个问题提到的,用户可以直接访问https://github.com/rancher/runc-cve 来获取方案,值得一提的是 Rancher 为 3.x 和 4.x 内核用户都提供了补丁版本。


To install, find the runc for you docker version, for example Docker 17.06.2 for amd64 will be runc-v17.06.2-amd64.

For Linux 3.x kernels use the binaries that end with no-memfd_create. Then replace the docker-runc on your host with the patched one.

如何正确使用 EXP?

首先不建议大家广泛传播 EXP,因为它每暴露一次,就为整体环境增加了一丝风险,我们可以研究学习但是不要恶意传播。 我们在后台看到有些人问到,他们使用了某些 EXP 代码,攻击没有成功,想知道是不是自己的系统是安全的,不用考虑升级。 Rancher 安全团队也查看了一些外部公开的 EXP,有些 EXP 是不完整的,它可能只能在某些环境上起作用。 比如利用 libseccomp 的 EXP,就无法在静态编译的 runc 上起作用,我们使用了一些公开的 EXP 就无法在 RancherOS 上完成攻击。 虽然不同版本的 Docker 都使用 runc,但是不同的操作系统使用 runc 的方式不同,有的使用 static runc,有的使用 dynamic runc。 所以不能以某些公开的 EXP 的执行结果为标准,来判断自己系统是否存在漏洞。

守护用户的 K8S 之路

Rancher Kubernetes 平台拥有着超过一亿次下载量,我们深知安全问题对于用户而言的重要性,更遑论那些通过 Rancher 平台在生产环境中运行 Docker 及 Kubernetes 的数千万用户。


2018 年年底 Kubernetes 被爆出的首个严重安全漏洞CVE-2018-1002105,就是由 Rancher Labs 联合创始人及首席架构师 Darren Shepherd 发现的。


2019 年 1 月Kubernetes被爆出仪表盘和外部IP代理安全漏洞时,Rancher Labs 也是第一时间向用户响应,确保了所有 Rancher 2.x 和 1.6.x 的用户都完全不被漏洞影响。


负责、可靠、快速响应、以用户为中心,是 Rancher 始终不变的初心;在每一次业界出现问题时,严谨踏实为用户提供相应的应对之策,也是 Rancher 一如既往的行事之道。未来,Rancher 也将一如既往支持与守护在用户的 K8S 之路左右,确保大家安全、稳妥、无虞地继续前进❤️


2020-04-23 17:23619

评论

发布
暂无评论
发现更多内容

面向对象-抽象性思想(知识整理)

Java 程序员 后端

面试字节、阿里等大厂后,总结了今年的Java面试必问的微服务面试题(含答案)

Java 程序员 后端

面试官再问分布式事务,求你看完这份至尊级分布式笔记,给年轻的面试官上一课

Java 程序员 后端

面试官:你如何利用-MySQL-Cluster-实现整体高可用?

Java 程序员 后端

面试官都爱问的Spring源码:Spring与Mybatis高级整合

Java 程序员 后端

阿里蚂蚁金服超全126道面试题,都会的话,你也能去面阿里了

Java 程序员 后端

阿里面试官整理出面试必问:java面试核心知识原理+框架笔记

Java 程序员 后端

震撼发布!阿里老兵亲手操刀微服务架构实战,整理出140个案例

Java 程序员 后端

面试太难?技术面考察太底层?二面被拒到收割阿里架构offer,复盘成功经历分享!

Java 程序员 后端

阿里面试确实严格,面了整整5轮,还好我技高一筹!

Java 程序员 后端

面试官:多线程环境下,HashMap为什么会出现死循环?

Java 程序员 后端

教你如何用Keras搭建分类神经网络

华为云开发者联盟

神经网络 keras 分类神经网络 MNIST 数字图像

面试官一口气问了MySQL事务、锁和MVCC,

Java 程序员 后端

面试官求你别再问我hook了

CRMEB

面试官问我什么是扩展自适应机制

Java 程序员 后端

阿里面试官:你好,谈谈对Synchronized的理解?(一

Java 程序员 后端

道与术丨华为云数据库战略启示录

华为云开发者联盟

数据库 opengauss 华为云 GaussDB 战略

面试官:Java-线程池中的线程复用是如何实现的?

Java 程序员 后端

面试官:如何提升TCP三次握手的性能?(1)

Java 程序员 后端

靠谱,这是我见过最好的编程指南了!赶快收藏吧,错过大学就白上了!

Java 程序员 后端

面向对象知识点整理

Java 程序员 后端

面试官最喜欢问的Spring Boot知识点整理【附解答】(下)

Java 程序员 后端

MatrixDB 从 4018 个参赛项目中脱颖而出,荣获 HICOOL 全球创业大赛第三名!

YMatrix 超融合数据库

时序数据库 分布式时序数据库 Hicool

面试前夕,你一定要先来看看阿里和京东都问些啥!(阿里+京东Java岗面试题概要

Java 程序员 后端

阿里面试官:HashMap 为什么是线程不安全的?

Java 程序员 后端

Flink CDC 实时数据同步详细解析

五分钟学大数据

flink 11月日更

阿里面试官:就说最后一遍,有关Spring这13点我们必问!

Java 程序员 后端

震惊!2022 年秋招 Java 后端开发岗竟然一片红海!算法岗都不香了吗?

Java 程序员 后端

面向对象设计的九大基本原则 (GRASP)

Java 程序员 后端

面试中常见的问题总结

Java 程序员 后端

面试大厂一定离不开的——ThreadLocal,它的实现原理你知道吗

Java 程序员 后端

runc容器逃逸漏洞最强后续:应对之策汇总与热点疑问解答_文化 & 方法_Rancher_InfoQ精选文章