資訊專欄INFORMATION COLUMN
摘要:本篇目錄漏洞詳情漏洞詳情影響范圍影響范圍修復方案修復方案參考鏈接參考鏈接已于年月日修復容器逃逸漏洞,并通過攻防測試。下載修復的版本對應的容器版本為,內核版本為,并替換原有的。該方案會導致容器和業務中斷,請謹慎操作。
UK8S已于2019年2月14日15:00修復runc容器逃逸漏洞,并通過攻防測試。本文主要介紹2019年2月14日之前創建的集群修復辦法。
runc被曝存在容器逃逸漏洞。該漏洞允許惡意容器(以最少的用戶交互)覆蓋host上的runc文件,從而在host上以root權限執行代碼。在下面兩種情況下,通過用戶交互可以在容器中以root權限執行任意代碼: 1.使用攻擊者控制的鏡像創建新容器。 2.進入到攻擊者之前具有寫入權限的現有容器中(docker exec)。
** 2019年2月14日15:00之前創建的集群**
此批集群的Docker版本為1.13.1,runc版本<1.0-rc6,存在安全隱患,需要修復。
2019年2月14日15:00之后創建的集群已修復該漏洞,并已通過攻防測試無需擔心。
由于UK8S為單租戶模式,如果之前未在UK8S集群內部署未經審查的第三方鏡像,該漏洞無法被黑客被利用,但為了業務安全,建議盡早修復。
方案一
對于測試用集群,建議刪除后重新創建,新版本UK8S集群已修復該漏洞(CVE-2019-5736);
方案二
僅升級runc版本,該方案為熱升級方案,理論上不會導致業務中斷,具體方案如下:
1.備份原有runc,UK8S的runc位于/usr/libexec/docker路徑下。
mv /usr/libexec/docker/docker-runc-current /usr/libexec/docker/docker-runc-current.$(date -Iseconds)2.下載修復的runc版本(對應的容器版本為1.13.1,內核版本為4.x),并替換原有的runc。
wget https://github.com/rancher/runc-cve/releases/download/CVE-2019-5736-build3/runc-v1.13.1-amd64
mv runc-v1.13.1-amd64 /usr/libexec/docker/docker-runc-current
##內核版本為3.x
wget https://github.com/rancher/runc-cve/releases/download/CVE-2019-5736-build3/runc-v1.13.1-amd64-no-memfd_create3.配置可執行權限
chmod +x /usr/libexec/docker/docker-runc-current4.測試新版本runc是否正常工作
/usr/libexec/docker/docker-runc-current -v
docker run -it --rm ubuntu echo OK方案三
升級Docker版本。將已有集群的Docker版本升級到18.09.2或以上。該方案會導致容器和業務中斷,請謹慎操作。
如在該漏洞過程中需要協助,請聯系UK8S團隊協助處理。
https://www.openwall.com/lists/oss-security/2019/02/11/2
https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/127211.html
摘要:產品價格產品本身不收取服務費用,但你需要為使用過程中用到的其他云產品付費。實時文檔歡迎訪問產品價格UK8S產品本身不收取服務費用,但你需要為使用UK8S過程中用到的其他云產品付費。在使用UK8S的過程中,您可能會使用到以下產品,具體如下:云主機 UHost收費說明云硬盤 UDisk收費說明文件存儲 UFS收費說明對象存儲 UFile收費說明負載均衡 ULB收費說明彈性IP EI...
摘要:會使用到以下產品的全部操作權限,例如代替你創建刪除云主機,由此產生的費用由你負責,請知悉。如何識別由創建的云資源由創建的云資源名稱,都遵循明確的命名規范,具體詳見命名規范簡要說明如下名稱,如名稱為的云主機,是這個集群的節點。容器云UK8S使用必讀注意:通過UK8S創建的云主機、云盤、EIP等資源,刪除資源請不要通過具體的產品列表頁刪除,否則可能導致UK8S運行不正常或數據丟失風險,可以通過U...
摘要:注意通過創建的云主機云盤等資源,刪除資源請不要通過具體的產品列表頁刪除,否則可能導致運行不正常或數據丟失風險,可以通過將資源釋放或解綁刪除。會使用到以下產品的全部操作權限,例如代替你創建刪除云主機,由此產生的費用由你負責,請知悉。注意:通過UK8S創建的云主機、云盤、EIP等資源,刪除資源請不要通過具體的產品列表頁刪除,否則可能導致UK8S運行不正常或數據丟失風險,可以通過UK8S將資源釋放...
摘要:產品本身不收取服務費用,但你需要為使用過程中用到的其他云產品付費。UK8S產品本身不收取服務費用,但你需要為使用UK8S過程中用到的其他云產品付費。在使用UK8S的過程中,您可能會使用到以下產品,具體如下:UK8S產品價格UK8S產品本身不收取服務費用,但你需要為使用UK8S過程中用到的其他云產品付費。在使用UK8S的過程中,您可能會使用到以下產品,具體如下:云主機 UHost收費說明云硬...
摘要:詳細請見產品價格產品概念使用須知名詞解釋漏洞修復記錄集群節點配置推薦模式選擇產品價格操作指南集群創建需要注意的幾點分別是使用必讀講解使用需要賦予的權限模式切換的切換等。UK8S概覽UK8S是一項基于Kubernetes的容器管理服務,你可以在UK8S上部署、管理、擴展你的容器化應用,而無需關心Kubernetes集群自身的搭建及維護等運維類工作。了解使用UK8S為了讓您更快上手使用,享受UK...
摘要:產品概念是一項基于的容器管理服務,你可以在上部署管理擴展你的容器化應用,而無需關心集群自身的搭建及維護等運維類工作。完全兼容原生的,以私有網絡為基礎,并整合了等云產品。其命名規范為。產品概念UCloud Container Service for Kubernetes (UK8S)是一項基于Kubernetes的容器管理服務,你可以在UK8S上部署、管理、擴展你的容器化應用,而無需關心Kub...
閱讀 284·2024-11-07 18:25
閱讀 130363·2024-02-01 10:43
閱讀 868·2024-01-31 14:58
閱讀 828·2024-01-31 14:54
閱讀 82766·2024-01-29 17:11
閱讀 3047·2024-01-25 14:55
閱讀 1985·2023-06-02 13:36
閱讀 3032·2023-05-23 10:26
