摘要:网易云技术团队则迅速完成分析和测试,并以最高优先级处理该漏洞,紧急上线了漏洞修复方案,最终完全消除了该漏洞可能产生的影响,确保了公有云服务的安全性。
近日,业界爆出的runC容器越权逃逸漏洞CVE-2019-5736,席卷了整个基于runC的容器云领域,大量云计算厂商和采用容器云的企业受到影响。网易云方面透露,经过技术团队的紧急应对,网易云上的容器服务已经被成功修复,网易云公有云客户在无感知、且不需要增加运维成本的情况下升级到安全的容器云环境,没有任何客户受到该漏洞的影响。
RunC由Docker公司开发,后来成为开放容器标准(OCI)被广泛使用,而容器则成为了标准的云原生基础架构,不仅是各家云服务商的标配产品,也是企业赖以开展创新业务实现数字化转型的核心工具。此次曝出的runC严重漏洞,使攻击者能够以root身份在宿主机上执行任何命令,这给所有基于容器的创新业务带来了意外的风险,引起了云服务商和企业的一致重视。
CVE安全漏洞信息网站(https://cve.mitre.org/cgi-bin...)显示,Kubernetes、Docker、containerd或者其他基于runC的容器技术在运行时层存在安全漏洞,攻击者可以通过特定的恶意容器镜像或者exec操作,获取到宿主机runC运行时的文件句柄并修改掉runC的二进制文件,从而获取到宿主机的root执行权限。18.09.2以下的Docker版本或者1.0-rc6以下的runC版本均受到影响。
漏洞被披露后,红帽的容器技术产品经理Scott McCarty警告称,“利用此漏洞,恶意代码可能会肆意蔓延,不仅影响单个容器,还会影响整个容器主机,最终会破坏主机上运行的成百上千个容器。”可能会造成企业IT的世界末日。
网易云也基于OCI规范的技术提供Serverless公有云容器服务,因而也被该漏洞波及。漏洞被曝出后,runC的维护者、SUSE高级软件工程师Aleksa Saraipush已经在Github提交代码修复了这个漏洞:https://github.com/opencontai...。
网易云技术团队则迅速完成分析和POC测试,并以最高优先级处理该漏洞,紧急上线了漏洞修复方案,最终完全消除了该漏洞可能产生的影响,确保了公有云服务的安全性。
McCarty 表示,这不是第一个主要的容器运行时安全漏洞,也不会是最后一个。网易云工程师认为,容器和微服务在数字经济中的魅力已经彰显,企业不能因噎废食,放弃技术改造,但也需要及时升级,针对安全漏洞打好补丁,或者选择实力强劲、服务专业的云计算技术服务商,为自己的数字化转型任务打造安全可信的技术平台。
网易云旗下的轻舟微服务是围绕应用和微服务打造的一站式 PaaS 平台,帮助用户快速实现易接入、易运维的微服务解决方案,点击查看详情。
文章来源: 网易云社区
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/25460.html
摘要:年月日,研究人员通过邮件列表披露了容器逃逸漏洞的详情,根据的规定会在天后也就是年月日公开。在号当天已通过公众号文章详细分析了漏洞详情和用户的应对之策。 美国时间2019年2月11日晚,runc通过oss-security邮件列表披露了runc容器逃逸漏洞CVE-2019-5736的详情。runc是Docker、CRI-O、Containerd、Kubernetes等底层的容器运行时,此...
摘要:漏洞披露后,在第一时间发布了,用户可升级到此版本以修复该漏洞。年年底被爆出的首个严重安全漏洞,就是由联合创始人及首席架构师发现的。年月被爆出仪表盘和外部代理安全漏洞时,也是第一时间向用户响应,确保所有和的用户都完全不被漏洞影响。 runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI工具,目前Docker引擎内部也是基于runc构建的。...
摘要:本篇目录漏洞详情漏洞详情影响范围影响范围修复方案修复方案参考链接参考链接已于年月日修复容器逃逸漏洞,并通过攻防测试。下载修复的版本对应的容器版本为,内核版本为,并替换原有的。该方案会导致容器和业务中断,请谨慎操作。 CVE-2019-5736本篇目录漏洞详情影响范围修复方案参考链接UK8S已于2019年2月14日15:00修复runc容器逃逸漏洞,并通过攻防测试。本文主要介绍2019年2月1...
摘要:中国论坛提案征集月日截止论坛让用户开发人员从业人员汇聚一堂,面对面进行交流合作。赞助方案出炉多元化奖学金现正接受申请即将首次合体落地中国 2月11日早上有宣布关于runc中的容器逃逸漏洞。我们希望为Kubernetes用户提供一些指导,以确保每个人都安全。 Runc是什么? 简单来说,runc是一个低层工具,它负责大量生成Linux容器。Docker、Containerd和CRI-O等...
摘要:运行引擎贡献者项目获得核心基础结构计划的最佳实践徽章中国论坛提案征集月日截止论坛让用户开发人员从业人员汇聚一堂,面对面进行交流合作。和赞助方案出炉和多元化奖学金现正接受申请和即将首次合体落地中国 showImg(https://segmentfault.com/img/bVbonuW?w=1166&h=404);欢迎来到containerd的v1.1.6版本! 这是containerd...
阅读 1762·2023-04-26 02:14
阅读 3690·2021-11-23 09:51
阅读 1324·2021-10-13 09:39
阅读 3943·2021-09-24 10:36
阅读 2947·2021-09-22 15:55
阅读 3469·2019-08-30 12:57
阅读 1960·2019-08-29 15:30
阅读 1924·2019-08-29 13:19