摘要:本篇目录漏洞详情漏洞详情影响范围影响范围修复方案修复方案参考链接参考链接已于年月日修复容器逃逸漏洞,并通过攻防测试。下载修复的版本对应的容器版本为,内核版本为,并替换原有的。该方案会导致容器和业务中断,请谨慎操作。
UK8S已于2019年2月14日15:00修复runc容器逃逸漏洞,并通过攻防测试。本文主要介绍2019年2月14日之前创建的集群修复办法。
runc被曝存在容器逃逸漏洞。该漏洞允许恶意容器(以最少的用户交互)覆盖host上的runc文件,从而在host上以root权限执行代码。在下面两种情况下,通过用户交互可以在容器中以root权限执行任意代码: 1.使用攻击者控制的镜像创建新容器。 2.进入到攻击者之前具有写入权限的现有容器中(docker exec)。
** 2019年2月14日15:00之前创建的集群**
此批集群的Docker版本为1.13.1,runc版本<1.0-rc6,存在安全隐患,需要修复。
2019年2月14日15:00之后创建的集群已修复该漏洞,并已通过攻防测试无需担心。
由于UK8S为单租户模式,如果之前未在UK8S集群内部署未经审查的第三方镜像,该漏洞无法被黑客被利用,但为了业务安全,建议尽早修复。
方案一
对于测试用集群,建议删除后重新创建,新版本UK8S集群已修复该漏洞(CVE-2019-5736);
方案二
仅升级runc版本,该方案为热升级方案,理论上不会导致业务中断,具体方案如下:
1.备份原有runc,UK8S的runc位于/usr/libexec/docker路径下。
mv /usr/libexec/docker/docker-runc-current /usr/libexec/docker/docker-runc-current.$(date -Iseconds)2.下载修复的runc版本(对应的容器版本为1.13.1,内核版本为4.x),并替换原有的runc。
wget https://github.com/rancher/runc-cve/releases/download/CVE-2019-5736-build3/runc-v1.13.1-amd64
mv runc-v1.13.1-amd64 /usr/libexec/docker/docker-runc-current
##内核版本为3.x
wget https://github.com/rancher/runc-cve/releases/download/CVE-2019-5736-build3/runc-v1.13.1-amd64-no-memfd_create3.配置可执行权限
chmod +x /usr/libexec/docker/docker-runc-current4.测试新版本runc是否正常工作
/usr/libexec/docker/docker-runc-current -v
docker run -it --rm ubuntu echo OK方案三
升级Docker版本。将已有集群的Docker版本升级到18.09.2或以上。该方案会导致容器和业务中断,请谨慎操作。
如在该漏洞过程中需要协助,请联系UK8S团队协助处理。
https://www.openwall.com/lists/oss-security/2019/02/11/2
https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/127211.html
摘要:产品价格产品本身不收取服务费用,但你需要为使用过程中用到的其他云产品付费。实时文档欢迎访问产品价格UK8S产品本身不收取服务费用,但你需要为使用UK8S过程中用到的其他云产品付费。在使用UK8S的过程中,您可能会使用到以下产品,具体如下:云主机 UHost收费说明云硬盘 UDisk收费说明文件存储 UFS收费说明对象存储 UFile收费说明负载均衡 ULB收费说明弹性IP EI...
摘要:会使用到以下产品的全部操作权限,例如代替你创建删除云主机,由此产生的费用由你负责,请知悉。如何识别由创建的云资源由创建的云资源名称,都遵循明确的命名规范,具体详见命名规范简要说明如下名称,如名称为的云主机,是这个集群的节点。容器云UK8S使用必读注意:通过UK8S创建的云主机、云盘、EIP等资源,删除资源请不要通过具体的产品列表页删除,否则可能导致UK8S运行不正常或数据丢失风险,可以通过U...
摘要:注意通过创建的云主机云盘等资源,删除资源请不要通过具体的产品列表页删除,否则可能导致运行不正常或数据丢失风险,可以通过将资源释放或解绑删除。会使用到以下产品的全部操作权限,例如代替你创建删除云主机,由此产生的费用由你负责,请知悉。注意:通过UK8S创建的云主机、云盘、EIP等资源,删除资源请不要通过具体的产品列表页删除,否则可能导致UK8S运行不正常或数据丢失风险,可以通过UK8S将资源释放...
摘要:产品本身不收取服务费用,但你需要为使用过程中用到的其他云产品付费。UK8S产品本身不收取服务费用,但你需要为使用UK8S过程中用到的其他云产品付费。在使用UK8S的过程中,您可能会使用到以下产品,具体如下:UK8S产品价格UK8S产品本身不收取服务费用,但你需要为使用UK8S过程中用到的其他云产品付费。在使用UK8S的过程中,您可能会使用到以下产品,具体如下:云主机 UHost收费说明云硬...
摘要:详细请见产品价格产品概念使用须知名词解释漏洞修复记录集群节点配置推荐模式选择产品价格操作指南集群创建需要注意的几点分别是使用必读讲解使用需要赋予的权限模式切换的切换等。UK8S概览UK8S是一项基于Kubernetes的容器管理服务,你可以在UK8S上部署、管理、扩展你的容器化应用,而无需关心Kubernetes集群自身的搭建及维护等运维类工作。了解使用UK8S为了让您更快上手使用,享受UK...
摘要:产品概念是一项基于的容器管理服务,你可以在上部署管理扩展你的容器化应用,而无需关心集群自身的搭建及维护等运维类工作。完全兼容原生的,以私有网络为基础,并整合了等云产品。其命名规范为。产品概念UCloud Container Service for Kubernetes (UK8S)是一项基于Kubernetes的容器管理服务,你可以在UK8S上部署、管理、扩展你的容器化应用,而无需关心Kub...
阅读 284·2024-11-07 18:25
阅读 130363·2024-02-01 10:43
阅读 868·2024-01-31 14:58
阅读 828·2024-01-31 14:54
阅读 82766·2024-01-29 17:11
阅读 3047·2024-01-25 14:55
阅读 1985·2023-06-02 13:36
阅读 3032·2023-05-23 10:26
