摘要:網(wǎng)易云技術(shù)團(tuán)隊(duì)則迅速完成分析和測(cè)試,并以最高優(yōu)先級(jí)處理該漏洞,緊急上線了漏洞修復(fù)方案,最終完全消除了該漏洞可能產(chǎn)生的影響,確保了公有云服務(wù)的安全性。
近日,業(yè)界爆出的runC容器越權(quán)逃逸漏洞CVE-2019-5736,席卷了整個(gè)基于runC的容器云領(lǐng)域,大量云計(jì)算廠商和采用容器云的企業(yè)受到影響。網(wǎng)易云方面透露,經(jīng)過(guò)技術(shù)團(tuán)隊(duì)的緊急應(yīng)對(duì),網(wǎng)易云上的容器服務(wù)已經(jīng)被成功修復(fù),網(wǎng)易云公有云客戶在無(wú)感知、且不需要增加運(yùn)維成本的情況下升級(jí)到安全的容器云環(huán)境,沒(méi)有任何客戶受到該漏洞的影響。
RunC由Docker公司開(kāi)發(fā),后來(lái)成為開(kāi)放容器標(biāo)準(zhǔn)(OCI)被廣泛使用,而容器則成為了標(biāo)準(zhǔn)的云原生基礎(chǔ)架構(gòu),不僅是各家云服務(wù)商的標(biāo)配產(chǎn)品,也是企業(yè)賴以開(kāi)展創(chuàng)新業(yè)務(wù)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的核心工具。此次曝出的runC嚴(yán)重漏洞,使攻擊者能夠以root身份在宿主機(jī)上執(zhí)行任何命令,這給所有基于容器的創(chuàng)新業(yè)務(wù)帶來(lái)了意外的風(fēng)險(xiǎn),引起了云服務(wù)商和企業(yè)的一致重視。
CVE安全漏洞信息網(wǎng)站(https://cve.mitre.org/cgi-bin...)顯示,Kubernetes、Docker、containerd或者其他基于runC的容器技術(shù)在運(yùn)行時(shí)層存在安全漏洞,攻擊者可以通過(guò)特定的惡意容器鏡像或者exec操作,獲取到宿主機(jī)runC運(yùn)行時(shí)的文件句柄并修改掉runC的二進(jìn)制文件,從而獲取到宿主機(jī)的root執(zhí)行權(quán)限。18.09.2以下的Docker版本或者1.0-rc6以下的runC版本均受到影響。
漏洞被披露后,紅帽的容器技術(shù)產(chǎn)品經(jīng)理Scott McCarty警告稱,“利用此漏洞,惡意代碼可能會(huì)肆意蔓延,不僅影響單個(gè)容器,還會(huì)影響整個(gè)容器主機(jī),最終會(huì)破壞主機(jī)上運(yùn)行的成百上千個(gè)容器。”可能會(huì)造成企業(yè)IT的世界末日。
網(wǎng)易云也基于OCI規(guī)范的技術(shù)提供Serverless公有云容器服務(wù),因而也被該漏洞波及。漏洞被曝出后,runC的維護(hù)者、SUSE高級(jí)軟件工程師Aleksa Saraipush已經(jīng)在Github提交代碼修復(fù)了這個(gè)漏洞:https://github.com/opencontai...。
網(wǎng)易云技術(shù)團(tuán)隊(duì)則迅速完成分析和POC測(cè)試,并以最高優(yōu)先級(jí)處理該漏洞,緊急上線了漏洞修復(fù)方案,最終完全消除了該漏洞可能產(chǎn)生的影響,確保了公有云服務(wù)的安全性。
McCarty 表示,這不是第一個(gè)主要的容器運(yùn)行時(shí)安全漏洞,也不會(huì)是最后一個(gè)。網(wǎng)易云工程師認(rèn)為,容器和微服務(wù)在數(shù)字經(jīng)濟(jì)中的魅力已經(jīng)彰顯,企業(yè)不能因噎廢食,放棄技術(shù)改造,但也需要及時(shí)升級(jí),針對(duì)安全漏洞打好補(bǔ)丁,或者選擇實(shí)力強(qiáng)勁、服務(wù)專業(yè)的云計(jì)算技術(shù)服務(wù)商,為自己的數(shù)字化轉(zhuǎn)型任務(wù)打造安全可信的技術(shù)平臺(tái)。
網(wǎng)易云旗下的輕舟微服務(wù)是圍繞應(yīng)用和微服務(wù)打造的一站式 PaaS 平臺(tái),幫助用戶快速實(shí)現(xiàn)易接入、易運(yùn)維的微服務(wù)解決方案,點(diǎn)擊查看詳情。
文章來(lái)源: 網(wǎng)易云社區(qū)
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/25460.html
摘要:年月日,研究人員通過(guò)郵件列表披露了容器逃逸漏洞的詳情,根據(jù)的規(guī)定會(huì)在天后也就是年月日公開(kāi)。在號(hào)當(dāng)天已通過(guò)公眾號(hào)文章詳細(xì)分析了漏洞詳情和用戶的應(yīng)對(duì)之策。 美國(guó)時(shí)間2019年2月11日晚,runc通過(guò)oss-security郵件列表披露了runc容器逃逸漏洞CVE-2019-5736的詳情。runc是Docker、CRI-O、Containerd、Kubernetes等底層的容器運(yùn)行時(shí),此...
摘要:漏洞披露后,在第一時(shí)間發(fā)布了,用戶可升級(jí)到此版本以修復(fù)該漏洞。年年底被爆出的首個(gè)嚴(yán)重安全漏洞,就是由聯(lián)合創(chuàng)始人及首席架構(gòu)師發(fā)現(xiàn)的。年月被爆出儀表盤和外部代理安全漏洞時(shí),也是第一時(shí)間向用戶響應(yīng),確保所有和的用戶都完全不被漏洞影響。 runC是一個(gè)根據(jù)OCI(Open Container Initiative)標(biāo)準(zhǔn)創(chuàng)建并運(yùn)行容器的CLI工具,目前Docker引擎內(nèi)部也是基于runc構(gòu)建的。...
摘要:本篇目錄漏洞詳情漏洞詳情影響范圍影響范圍修復(fù)方案修復(fù)方案參考鏈接參考鏈接已于年月日修復(fù)容器逃逸漏洞,并通過(guò)攻防測(cè)試。下載修復(fù)的版本對(duì)應(yīng)的容器版本為,內(nèi)核版本為,并替換原有的。該方案會(huì)導(dǎo)致容器和業(yè)務(wù)中斷,請(qǐng)謹(jǐn)慎操作。 CVE-2019-5736本篇目錄漏洞詳情影響范圍修復(fù)方案參考鏈接UK8S已于2019年2月14日15:00修復(fù)runc容器逃逸漏洞,并通過(guò)攻防測(cè)試。本文主要介紹2019年2月1...
摘要:中國(guó)論壇提案征集月日截止論壇讓用戶開(kāi)發(fā)人員從業(yè)人員匯聚一堂,面對(duì)面進(jìn)行交流合作。贊助方案出爐多元化獎(jiǎng)學(xué)金現(xiàn)正接受申請(qǐng)即將首次合體落地中國(guó) 2月11日早上有宣布關(guān)于runc中的容器逃逸漏洞。我們希望為Kubernetes用戶提供一些指導(dǎo),以確保每個(gè)人都安全。 Runc是什么? 簡(jiǎn)單來(lái)說(shuō),runc是一個(gè)低層工具,它負(fù)責(zé)大量生成Linux容器。Docker、Containerd和CRI-O等...
摘要:運(yùn)行引擎貢獻(xiàn)者項(xiàng)目獲得核心基礎(chǔ)結(jié)構(gòu)計(jì)劃的最佳實(shí)踐徽章中國(guó)論壇提案征集月日截止論壇讓用戶開(kāi)發(fā)人員從業(yè)人員匯聚一堂,面對(duì)面進(jìn)行交流合作。和贊助方案出爐和多元化獎(jiǎng)學(xué)金現(xiàn)正接受申請(qǐng)和即將首次合體落地中國(guó) showImg(https://segmentfault.com/img/bVbonuW?w=1166&h=404);歡迎來(lái)到containerd的v1.1.6版本! 這是containerd...
閱讀 1794·2023-04-26 02:14
閱讀 3719·2021-11-23 09:51
閱讀 1381·2021-10-13 09:39
閱讀 3963·2021-09-24 10:36
閱讀 3009·2021-09-22 15:55
閱讀 3511·2019-08-30 12:57
閱讀 2036·2019-08-29 15:30
閱讀 1980·2019-08-29 13:19