1. 聚能聊>
  2. 话题详情

runC爆严重漏洞影响Kubernetes、Docker,你的容器还安全吗?

2月12日,春节刚过。朋友圈就看到《runC爆严重漏洞:Kubernetes、Docker等中招》的消息。

runC 是 Docker,Kubernetes 等依赖容器的应用程序的底层容器运行时。此次爆出的严重安全漏洞可使攻击者以 root 身份在主机上执行任何命令。

容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。

2019年2月11日,研究人员通过oss-security邮件列表(https://www.openwall.com/lists/oss-security/2019/02/11/2)披露了runc容器逃逸漏洞的详情,根据OpenWall的规定EXP将在2019年2月18日公开。

runC 和 Docker 中安全漏洞(CVE-2019-5736)的披露说明了许多 IT 管理员和 CxO 面临着糟糕的情况。容器代表向共享系统的转变,其中来自不同用户的应用程序都在同一 Linux 主机上运行。利用此漏洞意,恶意代码可能会肆意蔓延,不仅影响单个容器,还会影响整个容器主机,最终会破坏主机上运行的成百上千个容器。像这种影响各种互连生产系统的级联漏洞可能会成为企业 IT 的世界末日场景...... 而这正是这个漏洞可能产生的结果。

image

不过使用阿里云的同学倒不用担心,阿里云容器服务已修复runc漏洞CVE-2019-5736。

背景资料:
Docker、containerd或者其他基于runc的容器在运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作获取到宿主机runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。

那么问题来了:
1、你有使用容器服务吗?平时有没有关注容器的安全问题?

2、这个漏洞对你有没有影响?你会怎么处理这个漏洞?

3、你觉得当前容器的安全性如何,是否满足你的需求?在这方面,你有没有什么建议要对容器提供商说?

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    阿里云代金券 x 3

  • 奖品二

    云栖定制电脑包 x 1

  • 奖品三

    福禄寿淘公仔 x 1

20个回答

2

青藤木子 已获得福禄寿淘公仔 复制链接去分享

1、你有使用容器服务吗?平时有没有关注容器的安全问题?
平常一般使用VM Fusion 或Docker,平时也不是很关注容器安全问题,一般我拿容器都是做测试
2、这个漏洞对你有没有影响?你会怎么处理这个漏洞?
像runC漏洞几乎我还没遇到过,平常一般更新容器就觉得ok了
3、你觉得当前容器的安全性如何,是否满足你的需求?在这方面,你有没有什么建议要对容器提供商说?
像虚拟机逃逸那样的方案目前都很少,目前容器都是很安全的,一般来说一旦出现bug容器供应商都会立即修复。一般容器供应商都会发布beta,供hacker进行测试,测试完成后才将stable版发布。除了性能问题外,docker和Fusion以及VMware都可以满足我的需求。我建议容器供应商可以在互联网发出测试邀请来检测bug,然后提供奖赏。

1

黄二刀 已获得云栖定制电脑包 复制链接去分享

1、你有使用容器服务吗?平时有没有关注容器的安全问题?
暂时还没用到。最近一直都在了解,任何东西安全都是第一位,稳中求胜。
2、这个漏洞对你有没有影响?你会怎么处理这个漏洞?
因为没有用到,所以没有影响。这种除了打补丁还有什么办法。
3、你觉得当前容器的安全性如何,是否满足你的需求?在这方面,你有没有什么建议要对容器提供商说?
个人感觉不是很安全,毕竟产品还不是很成熟。希望堵漏洞的能比钻漏洞的速度快。

1

1439019757050825 已获得阿里云代金券 复制链接去分享

1、你有使用容器服务吗?平时有没有关注容器的安全问题?
有。也关注。我使用多用户系统,每个容器运行在不同用户,并chroot jail多个方面限制该用户的能力

2、这个漏洞对你有没有影响?你会怎么处理这个漏洞?
应该没有。我使用多用户系统,每个容器运行在不同用户,并chroot jail多个方面限制该用户的能力。如果恶意程序取得shell,也只能局限于当前用户有限的能力。用户nologin。我主要担心的还是intel cpu漏洞这种东西的实现。

3、你觉得当前容器的安全性如何,是否满足你的需求?在这方面,你有没有什么建议要对容器提供商说?
我认为共享内核稳定性,安全性就是有限的。所以我只运行类似服务,不一样的服务我至少也运行在不同的云服务器或者虚拟机,而安全等级差距过高的,必定是运行在不同的物理设备。

0

wangccsy 已获得阿里云代金券 复制链接去分享

1、你有使用容器服务吗?平时有没有关注容器的安全问题?
暂时没有使用容器。只是曾经安装试用过。确实比安装虚拟机方便了很多。使用也很方便。但在容器中没有图形界面。因为不使用或者使用少,了解度还不够,没有特意去关注。但对于虚拟机安全还是挺注意的。

2、这个漏洞对你有没有影响?你会怎么处理这个漏洞?
因为还没有使用,所以就不会有影响了。如果使用了,那就是下载安全补丁,及时更新。

3、你觉得当前容器的安全性如何,是否满足你的需求?在这方面,你有没有什么建议要对容器提供商说?
因为没有使用。所以就不存在满足与否。我只想对所有服务提供商说的就是,发现漏洞的时候及时提供补救补丁,让系统运行更加安全。

0

aoteman675 已获得阿里云代金券 复制链接去分享

1、你有使用容器服务吗?平时有没有关注容器的安全问题?
测试实验,没有上线使用过,既然是实验,安全就无所谓了。

2、这个漏洞对你有没有影响?你会怎么处理这个漏洞?
没有影响,如果要出来就做业务迁移吧,真实业务不可能全部在一个容器内。

3、你觉得当前容器的安全性如何,是否满足你的需求?在这方面,你有没有什么建议要对容器提供商说?
使用阿里云容器还是稳定的,基本满足需要了。漏洞不可能避免,但是不能放松警惕,容器提供商应该自查漏洞及时修复。

1

游客rkbbihx5xrs3m 复制链接去分享

相信阿里云,没问题的

0

sw520.cc 复制链接去分享

利用此漏洞,恶意代码可能会肆意蔓延,不仅影响单个容器,还会影响整个容器主机,最终会破坏主机上运行的成百上千个容器。

0

华仔001 复制链接去分享

感谢阿里云及时修复这些漏洞

0

31938927 复制链接去分享

虽然不懂,但是还是看完了!

0

微wx笑 复制链接去分享

这问题让我这没用过的怎么回答~

0

新潮传媒 复制链接去分享

感觉阿里云安全没毛病

0

php码大帅 复制链接去分享

啥?

0

一秒云 复制链接去分享

阿里云值得拥有

0

20318795 复制链接去分享

利用此漏洞意,恶意代码可能会肆意蔓延,不仅影响单个容器,还会影响整个容器主机,最终会破坏主机上运行的成百上千个容器。
仔细读,有语病😁

0

1805749985882664 复制链接去分享

0

rootlin 复制链接去分享

阿里没有漏洞,我想要优惠券

0

205785550055131307 复制链接去分享

阿里云不会有漏洞

0

受气包翻身 复制链接去分享

新人老师们多多照顾

0

1139446648240514 复制链接去分享

春节祝福

0

1497124455821671 复制链接去分享

感觉阿里云安全没毛病