摘要:漏洞披露后�����,在第一時(shí)間發(fā)布了���,用戶可升級(jí)到此版本以修復(fù)該漏洞���。年年底被爆出的首個(gè)嚴(yán)重安全漏洞����,就是由聯(lián)合創(chuàng)始人及首席架構(gòu)師發(fā)現(xiàn)的。年月被爆出儀表盤和外部代理安全漏洞時(shí),也是第一時(shí)間向用戶響應(yīng)����,確保所有和的用戶都完全不被漏洞影響。
runC是一個(gè)根據(jù)OCI(Open Container Initiative)標(biāo)準(zhǔn)創(chuàng)建并運(yùn)行容器的CLI工具�,目前Docker引擎內(nèi)部也是基于runc構(gòu)建的。 2019年2月11日�,研究人員通過oss-security郵件列表(https://www.openwall.com/list... )披露了runc容器逃逸漏洞的詳情,根據(jù)OpenWall的規(guī)定EXP會(huì)在7天后也就是2019年2月18日公開�。
此漏洞允許以root身份運(yùn)行的容器以特權(quán)用戶身份在主機(jī)上執(zhí)行任意代碼。實(shí)際上���,這意味著容器可能會(huì)破壞Docker主機(jī)(覆蓋Runc CLI)���,而所需要的只是能夠使用root來運(yùn)行容器。攻擊者可以使用受感染的Docker鏡像或?qū)ξ词芨腥镜恼谶\(yùn)行的容器運(yùn)行exec命令���。針對(duì)此問題的已知緩解措施包括:
使用只讀主機(jī)文件系統(tǒng)運(yùn)行
運(yùn)行用戶命名空間
不在容器中運(yùn)行root
正確配置的AppArmor / SELinux策略(當(dāng)前的默認(rèn)策略不夠)
Rancher團(tuán)隊(duì)第一時(shí)間響應(yīng)
收到披露郵件后���,RancherOS團(tuán)隊(duì)立刻嘗試編寫了攻擊腳本,在一個(gè)普通容器中運(yùn)行一個(gè)非常簡(jiǎn)單的腳本就完成了對(duì)主機(jī)的攻擊�,將主機(jī)上的runc替換成了其他程序。
漏洞披露后���,Docker在第一時(shí)間發(fā)布了18.09.2�,用戶可升級(jí)到此版本以修復(fù)該漏洞。Rancher Labs研發(fā)團(tuán)隊(duì)同樣第一時(shí)間響應(yīng)�����,發(fā)布了Rancher v2.1.6����、v2.0.11和v1.6.26,這三個(gè)新版本Rancher支持Docker剛剛發(fā)布的18.09.2�,Rancher用戶可以升級(jí)Docker版本以防止被該安全漏洞影響。
無法升級(jí)Docker版本怎么辦
通常由于各種因素�,很多用戶的生產(chǎn)環(huán)境并不容易升級(jí)太新的Docker版本。
為了幫助無法按照Docker官方建議升級(jí)至最新版Docker 18.09.2的用戶解決此次問題���,Rancher Labs團(tuán)隊(duì)更進(jìn)一步���,已經(jīng)將修復(fù)程序反向移植到所有版本的Docker,為Docker 1.12.6���、1.13.1���、17.03.2、17.06.2���、17.09.1��、18.03.1和18.06.1提供補(bǔ)丁�����,修復(fù)這次漏洞���!相關(guān)修補(bǔ)程序以及安裝說明,請(qǐng)參考:
https://github.com/rancher/ru...����。
RancherOS的更新:v1.5.1 和 v1.4.3
RancherOS作為一款容器化操作系統(tǒng),其中很多組件依賴runc�,我們也在第一時(shí)間更新了補(bǔ)丁并發(fā)布了v1.5.1和v1.4.3兩個(gè)版本。
RancherOS的核心部件system-docker和user-docker都依賴runc���,所以v1.5.1和v1.4.3都對(duì)他們進(jìn)行了更新�����。而針對(duì)user-docker��,RancherOS可以切換各種版本的docker engine���, 所以我們對(duì)以下docker engine都進(jìn)行了反向移植:
v1.12.6/v1.13.1/v17.03.2/v17.06.2/v17.09.1/v17.12.1/v18.03.1/v18.06.1��。
如果是默認(rèn)安裝v1.5.1或v1.4.3����,補(bǔ)丁程序已經(jīng)是內(nèi)置的�����,你無需任何操作就可以避免該漏洞��。如果你希望使用早期的docker版本��,那么切換user-docker時(shí)�����,請(qǐng)使用上面提到的補(bǔ)丁修復(fù)版本:
同時(shí)v1.5.1版本也是支持docker 18.09.2�����,你可以切換到該版本���,如果你考慮使用Docker官方的修復(fù)版本�����,只需簡(jiǎn)單運(yùn)行: ros engine switch docker-18.09.2��。
我們推薦您使用最新的RancherOS v1.5.1版本���,該除了修復(fù)CVE-2019-5736漏洞外還支持其他新特性以及一些Bug Fix。當(dāng)然����,因?yàn)槿匀挥泻芏嘤脩粼谑褂?.4.x版本,所以我們也發(fā)布了v1.4.3����, 它只修復(fù)了runc漏洞,沒有其他額外的更新�。
AWS相關(guān)鏡像已經(jīng)上傳到各個(gè)region中,可以直接搜索查找并使用�����,包括AWS中國(guó)區(qū)�����。其他主要鏡像列表參考:
https://github.com/rancher/os...
更多新特性和Bug Fix請(qǐng)參考v1.5.1的Release Notes:
https://github.com/rancher/os...
文檔說明:
https://rancher.com/docs/os/v...
RancherOS專注于Docker在Linux上的精簡(jiǎn)體驗(yàn),它還是一個(gè)小眾的開源項(xiàng)目��,歡迎您下載使用并給RancherOS團(tuán)隊(duì)提供更多反饋����。 同時(shí),Github上的Star也是鼓勵(lì)我們繼續(xù)前行的精神動(dòng)力喔~
初心不忘�����,為用戶的Docker & K8S之旅護(hù)航
Rancher Kubernetes平臺(tái)擁有著超過一億次下載量��,我們深知安全問題對(duì)于用戶而言的重要性�,更遑論那些通過Rancher平臺(tái)在生產(chǎn)環(huán)境中運(yùn)行Docker及Kubernetes的數(shù)千萬用戶。
2018年年底Kubernetes被爆出的首個(gè)嚴(yán)重安全漏洞CVE-2018-1002105����,就是由Rancher Labs聯(lián)合創(chuàng)始人及首席架構(gòu)師Darren Shepherd發(fā)現(xiàn)的。
2019年1月Kubernetes被爆出儀表盤和外部IP代理安全漏洞時(shí)�����,Rancher Labs也是第一時(shí)間向用戶響應(yīng),確保所有Rancher 2.x和1.6.x的用戶都完全不被漏洞影響��。
未來���,Rancher也將一如既往陪伴與支持在用戶的K8S之路左右??
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/28084.html
