写点什么

Docker 再曝安全漏洞,这次是 PWD 的问题

  • 2019-01-15
  • 本文字数:1288 字

    阅读完需:约 4 分钟

Docker再曝安全漏洞,这次是PWD的问题

近日,网络安全公司 CyberArk 的研究人员发现了一种破解流行 Play-with-Docker(PWD)站点的方法,可绕过容器隔离边界限制,直接获取用户文件。不过,该错误配置目前已被修复。


近年来,容器已成为应用程序部署越来越流行的方法,为运行和管理本地和云工作负载提供了一种灵活的工作方式。近日,安全公司 Cyber Ark 称发现Play-with-Docker存在安全风险,攻击者可轻松访问主机系统资源。随后,研究人员向 Play-with-Docker 维护人员披露了此问题,目前该错误已得到解决。


PWD 主要提供在线资源,让开发人员可以轻松了解和使用流行的 Docker 容器应用程序技术。容器和应用程序在操作系统中是互相隔离的,常规状态是用户无法绕过容器隔离限制查看底层主机操作系统。


但是,该安全公司表示可以利用 Linux 容器的固有弱点绕开隔离限制,与在每个实例中加载内核的虚拟机不同,容器共享相同的内核代码,这是 Linux 容器和 Docker 得以快速和敏捷的原因,但这也是其致命弱点。

如何找到该漏洞?

研究团队通过使用 debugfs,这是一个预装操作系统的 Linux 工具,用于探测底层主机的文件系统,轻松查看主机硬盘信息,并可从主机文件系统获取文件以准备攻击。


研究人员表示,除此之外,只需读取容器上的文件,例如内部 proc/、dev/和 sys/,同样可以指向内核,通过查看容器中指向底层 Linux 内核的文件,研究人员可以绘制容器的边界并测试其权限。比如,用户可从容器读取有关底层主机 CPU 信息,加载 VM 类型,底层操作系统是否针对 Specter 和 Meltdown 的某些变体进行修补,Bios 版本等,还可通过检查容器用户的 Linux 功能来设置容器边界,看到容器用户被允许加载的 Linux 内核模块等。

都是容器权限的锅?

该问题与使用所谓的特权容器有关,Docker 使用特权标志来创建特权容器,但根据调查,PWD 使用特权容器,但没有正确保护它们。特权容器比非特权容器具有更多操作和访问权限控制。Docker 容器技术提供了许多帮助保护容器的机制,其中一种方法是使用所谓的用户命名空间。通过用户命名空间,研发人员可在 Docker 上运行各应用程序和进程,具有更多可见性和控制权限。


在许多情况下,应用程序需要比用户命名空间容器具备更多特权。保护容器隔离的一种方法是使用虚拟机 VM 管理程序进行额外的虚拟化抽象,VM 可以在虚拟操作系统与底层操作系统之间建立更严格的隔离边界。


如果 PWD 将每个容器放在单独的 VM 中,那么这次攻击就不会发生。研究表明,虚拟机和 Linux 容器之间的区别与漏洞直接有关。Linux 容器更加灵活,每个实例使用相同的内核代码,这就是造成漏洞的主要原因。


企业也可以通过多种方式选择在 VM 中运行容器。 例如,AWS 于 2018 年 11 月宣布 Firecracker 技术,作为隔离容器的虚拟机管理器(VMM)方法。 另一个选择是 Kata Containers,这是由 OpenStack 基金会维护的项目。此外,容器也可在传统虚拟化技术中运行,比如 VMware。


目前,PWD 方面通过阻止容器中的内核模块加载,避免了此次漏洞风险。但是,团队也在寻找更有用高效的辅助工具,最大限度降低和控制风险。


参考链接:https://www.eweek.com/security/researchers-reveal-play-with-docker-security-vulnerability


2019-01-15 14:117216
用户头像
赵钰莹 InfoQ 主编

发布了 828 篇内容, 共 539.7 次阅读, 收获喜欢 2613 次。

关注

评论

发布
暂无评论
发现更多内容

一键接入 ChatGPT,让你的QQ群变得热闹起来

极客飞兔

人工智能 聊天机器人 openai ChatGPT

OpenHarmonyApp启动页后记

白晓明

云数据库 HarmonyOS OpenHarmony 云函数 AppGallery Connect

你知道目前master分支目前多大吗?

坚果

OpenHarmony

软件测试 | 为什么使用Spring Boot

测吧(北京)科技有限公司

测试

软件测试 | Spring Boot的RESTful设计与实现

测吧(北京)科技有限公司

测试

软件测试 | python数据持久化技术

测吧(北京)科技有限公司

测试

软件测试 | 后端web开发框架

测吧(北京)科技有限公司

测试

软件测试 | ECharts简介与安装

测吧(北京)科技有限公司

测试

研讨会回顾 | Perforce版本控制工具Helix Core入华十年,携手龙智赋能企业大规模研发

龙智—DevSecOps解决方案

版本控制 数字资产 游戏开发 数字资产管理 芯片研发

2022 IoTDB Summit:IoTDB PMC侯昊男《Apache IoTDB首创时序顺乱序分离存储引擎 IoTLSM》

Apache IoTDB

数据库 IoTDB

十年业务开发总结,如何做好高效高质量的价值交付

阿里技术

质量保障 交付质量

软件测试 | Vuetify框架

测吧(北京)科技有限公司

测试

软件测试/测试开发 | 学做测试平台开发-Vuetify 框架

测试人

软件测试 测试开发 测试平台

软件测试 | Java数据持久化技术

测吧(北京)科技有限公司

测试

4月 · CSM认证周末班【提前报名特惠】“全球金牌课程”CST导师亲授

ShineScrum捷行

软件测试 | Spring Boot异常处理

测吧(北京)科技有限公司

测试

软件测试 | python跨平台API对接

测吧(北京)科技有限公司

测试

Atlassian Server用户新选择 | 数据中心产品是否适合您的企业(3)?

龙智—DevSecOps解决方案

Server Atlassian Jira 数据中心版

软件测试/测试开发 | 测试平台开发-前端开发之数据展示与分析

测试人

软件测试 自动化测试 测试开发 测试平台

ChatGPT开放API,上来就干到最低价,可以人手一个ChatGPT了

引迈信息

低代码 快速开发 openai ChatGPT

瓴羊Quick BI提供移动端自助分析解决方案, 易于性高于 Fine BI、 Smart BI

流量猫猫头

大数据 数据分析

软件测试 | 跨平台API对接

测吧(北京)科技有限公司

测试

软件测试 | Android与iOS在app测试时有什么区别?

测吧(北京)科技有限公司

测试

软件测试 | Spring Boot集成Swargger

测吧(北京)科技有限公司

测试

4道数学题,求解极狐GitLab CI 流水线|第4题:合并列车

极狐GitLab

ci DevOps pipeline runner 合并列车

Docker再曝安全漏洞,这次是PWD的问题_云计算_赵钰莹_InfoQ精选文章