写点什么

微软云服务爆出 FabricScape 容器逃逸漏洞,攻击者可接管 Linux 集群

  • 2022-07-03
  • 本文字数:600 字

    阅读完需:约 2 分钟

微软云服务爆出FabricScape 容器逃逸漏洞,攻击者可接管Linux集群

微软在 Service Fabric (SF) 应用程序托管平台爆出了一个名为 FabricScape 的容器逃逸漏洞,攻击者可利用此漏洞将权限提升到 root,夺取主机节点的控制权,并危及整个 SF Linux 集群。

 

微软花了近 5 个月时间修复漏洞,目前已将修复程序推送至自动更新通道,未开启该平台自动更新功能的用户需尽快更新。

 

根据微软的数据,Service Fabric 是一套关键业务应用程序托管平台,目前托管的应用总数已超百万。它还支持许多微软产品,包括但不限于 Azure SQL 数据库、Azure Cosmos DB、Microsoft Intune、Azure Event Hubs、Azure IoT Hub、Dynamics 365、Skype for Business、Cortana、Microsoft Power BI 和多个核心 Azure 服务。

 

这个漏洞编号为 CVE-2022-30137,由 Palo Alto Networks 于今年 1 月 30 日报告给微软。

 

该漏洞之所以出现,是因为 Fabric 的数据收集代理(DCA)服务组件(以 root 权限运行)包含竞争条件下的随意写入机制,导致恶意黑客可通过创建符号链接的方式,利用恶意内容覆盖节点文件系统中的文件,获取代码执行权限。

 

微软建议客户持续审查一切有权访问其主机集群的容器化工作负载(包括 Linux 与 Windows)。

 

微软表示,“默认情况下,SF 集群是单租户环境,因此应用程序之间没有隔离。但你可以在其中创建隔离,关于如何托管不受信代码的更多指南,请参阅Azure Service Fabric安全最佳实践页面。”

 

更多信息可参阅:https://unit42.paloaltonetworks.com/fabricscape-cve-2022-30137/

2022-07-03 20:203264

评论

发布
暂无评论
发现更多内容

初探 Android 组件化,四个步骤把握组件化核心要领

android 程序员 移动开发

历时30天的腾讯Android研发岗面试血泪史!最终拿到offer25K+16薪

android 程序员 移动开发

四张图让你玩转Tomcat系统架构!!!

android 程序员 移动开发

无代码Web UI自动化工具Automa初体验

FunTester

chrome 自动化 插件 FunTester Automa

北漂7年,安全着陆,一位大龄Android程序员的自述

android 程序员 移动开发

反向编译了子弹短信的 APK,核心功能为整合网易云信 SDK

android 程序员 移动开发

各种风格的Android面试题,进来了解一下?

android 程序员 移动开发

原创_Android Jetpack Compose 最全上手指南

android 程序员 移动开发

叫板-Android-开发!跨平台应用开发神器-Flutter-又添开源插件!-&nbs

android 程序员 移动开发

同事逆袭面进阿里P7-年薪60W+,临别留下一张Android开发重点技术路线图---

android 程序员 移动开发

【高并发】深入解析Callable接口

冰河

Java 并发编程 多线程 高并发 异步编程

使用jMeter构造大量并发HTTP请求进行微服务性能测试

汪子熙

Jmeter HTTP java; 11月日更

分享十次Android面试经验总结,已收字节,阿里,小米等offer

android 程序员 移动开发

Jerry眼中的SAP客户数据模型

汪子熙

CRM SAP abap 11月日更

在这个问题上,能看出 Android 工程师的真实水平

android 程序员 移动开发

基于-Kotlin-+-Netty-实现一个简单的-TCP-自定义协议

android 程序员 移动开发

大厂面试官:跳出舒适圈的程序员3年月薪还没到2万,干脆考虑转行?

android 程序员 移动开发

凭借这938页Android面试题合集,拿下了滴滴、美团、携程

android 程序员 移动开发

前端开发:JS中 indexOf() 方法的使用

android 程序员 移动开发

动态加载 so 注意事项&案例

android 程序员 移动开发

勤勤恳恳做到30岁,3名百度 ,京东,腾讯的高级Android工程师被辞退了

android 程序员 移动开发

在小公司混水摸鱼3年,被面试官直接开怼:能力太差了,还不如应届生哇

android 程序员 移动开发

副本 Kubernetes之POD、容器之间的网络通信

android 程序员 移动开发

十年老Android:构建Android-MVVM应用程序只需这几步?

android 程序员 移动开发

史上最详细!那些你不知道的WorkManager流程分析和源码解析

android 程序员 移动开发

大家都说程序员是吃青春饭的、Android研发没前景,那等Android研发年纪大了又该怎么办?

android 程序员 移动开发

分分钟带你读懂-ButterKnife-的源码

android 程序员 移动开发

加快APK构建速度,如何一步步把编译时间从130秒降到17秒以内

android 程序员 移动开发

可能是目前最全的《Android面试题大全》(中高级)

android 程序员 移动开发

图片加载框架-Picasso最详细的使用指南

android 程序员 移动开发

Chrome开发者工具中Elements(元素)断点的用途

汪子熙

JavaScript chrome Chrome开发者工具 11月日更

微软云服务爆出FabricScape 容器逃逸漏洞,攻击者可接管Linux集群_产品_Tina_InfoQ精选文章