RunC容器逃逸漏洞席卷业界,网易云如何做到实力修复?
近日,业界爆出的runC容器越权逃逸漏洞CVE-2019-5736,席卷了整个基于runC的容器云领域,大量云计算厂商和采用容器云的企业受到影响。网易云方面透露,经过技术团队的紧急应对,网易云上的容器服务已经被成功修复,网易云公有云客户在无感知、且不需要增加运维成本的情况下升级到安全的容器云环境,没有任何客户受到该漏洞的影响。
RunC由Docker公司开发,后来成为开放容器标准(OCI)被广泛使用,而容器则成为了标准的云原生基础架构,不仅是各家云服务商的标配产品,也是企业赖以开展创新业务实现数字化转型的核心工具。此次曝出的runC严重漏洞,使攻击者能够以root身份在宿主机上执行任何命令,这给所有基于容器的创新业务带来了意外的风险,引起了云服务商和企业的一致重视。
CVE安全漏洞信息网站(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736)显示,Kubernetes、Docker、containerd或者其他基于runC的容器技术在运行时层存在安全漏洞,攻击者可以通过特定的恶意容器镜像或者exec操作,获取到宿主机runC运行时的文件句柄并修改掉runC的二进制文件,从而获取到宿主机的root执行权限。18.09.2以下的Docker版本或者1.0-rc6以下的runC版本均受到影响。
漏洞被披露后,红帽的容器技术产品经理Scott McCarty警告称,“利用此漏洞,恶意代码可能会肆意蔓延,不仅影响单个容器,还会影响整个容器主机,最终会破坏主机上运行的成百上千个容器。”可能会造成企业IT的世界末日。
网易云也基于OCI规范的技术提供Serverless公有云容器服务,因而也被该漏洞波及。漏洞被曝出后,runC的维护者、SUSE高级软件工程师Aleksa Saraipush已经在Github提交代码修复了这个漏洞:https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b。
网易云技术团队则迅速完成分析和POC测试,并以最高优先级处理该漏洞,紧急上线了漏洞修复方案,最终完全消除了该漏洞可能产生的影响,确保了公有云服务的安全性。
McCarty 表示,这不是第一个主要的容器运行时安全漏洞,也不会是最后一个。网易云工程师认为,容器和微服务在数字经济中的魅力已经彰显,企业不能因噎废食,放弃技术改造,但也需要及时升级,针对安全漏洞打好补丁,或者选择实力强劲、服务专业的云计算技术服务商,为自己的数字化转型任务打造安全可信的技术平台。
网易云旗下的轻舟微服务是围绕应用和微服务打造的一站式 PaaS 平台,帮助用户快速实现易接入、易运维的微服务解决方案,点击查看详情。
相关文章:
【推荐】 手游要想反外挂,该如何正确选择可靠的第三方服务?
【推荐】 网易猛犸:数据质量漫谈
RunC容器逃逸漏洞席卷业界,网易云如何做到实力修复?的更多相关文章
- 腾讯云发布runC容器逃逸漏洞修复公告
尊敬的腾讯云客户,您好: 近日,腾讯云安全中心监测发现轻量级容器运行环境runc被爆存在容器逃逸漏洞,攻击者可以在利用该漏洞覆盖Host上的runc文件,从而在Host上以root权限执行代码. 为 ...
- docker 恶意镜像到容器逃逸影响本机
转载:http://521.li/post/122.html SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CR ...
- 利用容器逃逸实现远程登录k8s集群节点
某天, 某鱼说要吃瞄, 于是...... 李国宝:边缘计算k8s集群SuperEdge初体验 zhuanlan.zhihu.com 图标 照着上一篇文章来说,我这边边缘计算集群有一堆节点. 每个节 ...
- 网易云基于 Kubernetes 的深度定制化实践
本文由 网易云发布. 2017 年,Kubernetes 超越 Mesos 和 Docker Swarm成为最受欢迎的容器编排技术.网易云从 2015 下半年开始向 Kubernetes 社区贡献代 ...
- 面对runc逃逸漏洞,华为云容器为您保驾护航
背景信息 基于runc运行时的容器存在安全漏洞,攻击者可以通过恶意容器镜像等方式获取宿主机root执行权限.漏洞CVE-2019-5736的详细信息,请参见 https://cve.mitre.org ...
- 网易云易盾CTO朱浩齐:我们是如何用AI赋能内容安全?
本文由 网易云发布. 5月19日,LiveVideoStack携手网易云易盾,共同打造了“娱乐多媒体开发应用实践”专题,帮助开发者和泛娱乐平台运营人员,提升技术能力,突破难点,拓展思路与视野. 在专 ...
- 网易云易盾与A10 Networks达成战略合作 携手打造抗DDoS攻击的解决方案
欢迎访问网易云社区,了解更多网易技术产品运营经验. 2018年9月,网易云易盾宣布,与智能和自动化网络安全解决方案提供商A10 Networks结成战略合作伙伴关系.双方将在抗DDoS攻击领域展开深入 ...
- docker逃逸漏洞复现(CVE-2019-5736)
漏洞概述 2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podm ...
- 网易云免费OSS服务用做Markdown图床或博客图片外链
我使用据说是Windows下最好用的Markdown编辑器“MarkdownPad2”(个人感觉还是Visual Code+Markdown插件666)写Markdown,在贴图方面遇到一个问题,于是 ...
随机推荐
- JDK1.7 高并发下的HashMap
HashMap的容量是有限的.当经过多次元素插入,使得HashMap达到一定饱和度时,Key映射位置发生冲突的几率会逐渐提高. 这时候,HashMap需要扩展它的长度,也就是进行Resize. 影响发 ...
- python excel 像 Excel 一样使用 python 进行数据分析
https://www.jb51.net/article/63216.htm 像 Excel 一样使用 python 进行数据分析 : https://www.cnblogs.com/nxld/p/ ...
- IVideoWindow 在directshow采集链路中的使用
dshow中一个完整采集链路一般如下: Capture Device----->SampleGraber ------>Render 如果只要采集原始数据可以不用渲染链路那就如下: Cap ...
- C#简繁体转换
/// <summary>/// 字符串简体转繁体/// </summary>/// <param name="strSimple"></ ...
- STL里的内存池实现
这个貌似有点复杂,解决的主要问题 就是 减少 内存分配次数,减少用户态核心态切换中断次数,提高运行速度,预分配 和线程池一个道理,预分配 ////////////////////自由链表 union ...
- Mybaits
1.Mybatis全注解形式 (在注解上不能直接使用动态Sql,必须要在前后面加上<script>SQL</script>标签,否则会报错): @Select("& ...
- python学习笔记(五)- 文件操作
1.读文件f = open('word.txt',encoding='utf8') #默认打开当前目录下的文件,打开其它目录用绝对路径#f = open('word.txt',encoding='u ...
- Swagger使用
Swagger 1.集成springboot 第一步:pom <dependency> <groupId>io.springfox</groupId> <ar ...
- Mysql连接数太多ERROR 1040 (HY000): Too many connections
数据库连接报错:ERROR 1040 (HY000): Too many connections 1.查看连接数 /usr/local/mysql/bin/mysqladmin -h host - ...
- Pandas重塑和轴向旋转
重塑和轴向旋转 Se import pandas as pd import numpy as np from pandas import Series data=pd.DataFrame(np.ara ...