2月12日,春節剛過。朋友圈就看到《 runC爆嚴重漏洞:Kubernetes、Docker等中招 》的消息。
runC 是 Docker,Kubernetes 等依賴容器的應用程式的底層容器運作時。此次爆出的嚴重安全漏洞可使攻擊者以 root 身份在主機上執行任何指令。
容器的安全性一直是容器技術的一個短闆。關于容器最大的安全隐患是攻擊者可以使用惡意程式感染容器,更嚴重時可以攻擊主機系統。
2019年2月11日,研究人員通過oss-security郵件清單(
https://www.openwall.com/lists/oss-security/2019/02/11/2 )披露了runc容器逃逸漏洞的詳情,根據OpenWall的規定EXP将在2019年2月18日公開。
同樣2月12日,阿裡雲文檔中心已經釋出《
修複runc漏洞CVE-2019-5736的公告》。
阿裡雲容器服務已修複runc漏洞CVE-2019-5736。本文介紹該漏洞的影響範圍及解決方法。
背景:Docker、containerd或者其他基于runc的容器在運作時存在安全漏洞,攻擊者可以通過特定的容器鏡像或者exec操作擷取到主控端runc執行時的檔案句柄并修改掉runc的二進制檔案,進而擷取到主控端的root執行權限。
在雲栖社群的Kubernetes社群大群(釘釘群已近1000人)中,已有同學詢問:
阿裡的k8s容器服務已經修複了? 無需人工處理?
群主回複:新叢集不受影響。老叢集需要手動更新docker或者runc受影響的版本,可
根據文檔 中具體的修複步驟進行操作。
更多讨論與觀點,歡迎參加相關
聚能聊話題想查閱更多内容,歡迎關注“
容器服務Docker&Kubernetes”的雲栖号。
如想與更多志同道合的開發者一起交流,歡迎在公告及博文下方,或進釘群讨論。
Kubernetes社群大群入群方式:
一:點選連結即可入群:
https://dwz.cn/G2EELckH二:掃描下方二維碼進群:
