zoukankan      html  css  js  c++  java
  • RunC容器逃逸漏洞席卷业界,网易云如何做到实力修复?

    近日,业界爆出的runC容器越权逃逸漏洞CVE-2019-5736,席卷了整个基于runC的容器云领域,大量云计算厂商和采用容器云的企业受到影响。网易云方面透露,经过技术团队的紧急应对,网易云上的容器服务已经被成功修复,网易云公有云客户在无感知、且不需要增加运维成本的情况下升级到安全的容器云环境,没有任何客户受到该漏洞的影响。


    RunC由Docker公司开发,后来成为开放容器标准(OCI)被广泛使用,而容器则成为了标准的云原生基础架构,不仅是各家云服务商的标配产品,也是企业赖以开展创新业务实现数字化转型的核心工具。此次曝出的runC严重漏洞,使攻击者能够以root身份在宿主机上执行任何命令,这给所有基于容器的创新业务带来了意外的风险,引起了云服务商和企业的一致重视。




    CVE安全漏洞信息网站(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736)显示,Kubernetes、Docker、containerd或者其他基于runC的容器技术在运行时层存在安全漏洞,攻击者可以通过特定的恶意容器镜像或者exec操作,获取到宿主机runC运行时的文件句柄并修改掉runC的二进制文件,从而获取到宿主机的root执行权限。18.09.2以下的Docker版本或者1.0-rc6以下的runC版本均受到影响。


    漏洞被披露后,红帽的容器技术产品经理Scott McCarty警告称,“利用此漏洞,恶意代码可能会肆意蔓延,不仅影响单个容器,还会影响整个容器主机,最终会破坏主机上运行的成百上千个容器。”可能会造成企业IT的世界末日。


    网易云也基于OCI规范的技术提供Serverless公有云容器服务,因而也被该漏洞波及。漏洞被曝出后,runC的维护者、SUSE高级软件工程师Aleksa Saraipush已经在Github提交代码修复了这个漏洞:https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b


    网易云技术团队则迅速完成分析和POC测试,并以最高优先级处理该漏洞,紧急上线了漏洞修复方案,最终完全消除了该漏洞可能产生的影响,确保了公有云服务的安全性。


    McCarty 表示,这不是第一个主要的容器运行时安全漏洞,也不会是最后一个。网易云工程师认为,容器和微服务在数字经济中的魅力已经彰显,企业不能因噎废食,放弃技术改造,但也需要及时升级,针对安全漏洞打好补丁,或者选择实力强劲、服务专业的云计算技术服务商,为自己的数字化转型任务打造安全可信的技术平台。


    网易云旗下的轻舟微服务是围绕应用和微服务打造的一站式 PaaS 平台,帮助用户快速实现易接入、易运维的微服务解决方案,点击查看详情。


    相关文章:
    【推荐】 手游要想反外挂,该如何正确选择可靠的第三方服务?
    【推荐】 网易猛犸:数据质量漫谈

  • 相关阅读:
    ArrayList removeRange方法分析
    LinkedHashMap源码分析(基于JDK1.6)
    LinkedList原码分析(基于JDK1.6)
    TreeMap源码分析——深入分析(基于JDK1.6)
    51NOD 2072 装箱问题 背包问题 01 背包 DP 动态规划
    51 NOD 1049 最大子段和 动态规划 模板 板子 DP
    51NOD 1006 最长公共子序列 Lcs 动态规划 DP 模板题 板子
    8月20日 训练日记
    CodeForces
    CodeForces
  • 原文地址:https://www.cnblogs.com/163yun/p/10401304.html
Copyright © 2011-2022 走看看