資訊專欄INFORMATION COLUMN
摘要:本篇目錄漏洞詳情漏洞詳情影響范圍影響范圍修復(fù)方案修復(fù)方案參考鏈接參考鏈接已于年月日修復(fù)容器逃逸漏洞,并通過攻防測試。下載修復(fù)的版本對應(yīng)的容器版本為,內(nèi)核版本為,并替換原有的。該方案會導(dǎo)致容器和業(yè)務(wù)中斷,請謹慎操作。
UK8S已于2019年2月14日15:00修復(fù)runc容器逃逸漏洞,并通過攻防測試。本文主要介紹2019年2月14日之前創(chuàng)建的集群修復(fù)辦法。
runc被曝存在容器逃逸漏洞。該漏洞允許惡意容器(以最少的用戶交互)覆蓋host上的runc文件,從而在host上以root權(quán)限執(zhí)行代碼。在下面兩種情況下,通過用戶交互可以在容器中以root權(quán)限執(zhí)行任意代碼: 1.使用攻擊者控制的鏡像創(chuàng)建新容器。 2.進入到攻擊者之前具有寫入權(quán)限的現(xiàn)有容器中(docker exec)。
** 2019年2月14日15:00之前創(chuàng)建的集群**
此批集群的Docker版本為1.13.1,runc版本<1.0-rc6,存在安全隱患,需要修復(fù)。
2019年2月14日15:00之后創(chuàng)建的集群已修復(fù)該漏洞,并已通過攻防測試無需擔(dān)心。
由于UK8S為單租戶模式,如果之前未在UK8S集群內(nèi)部署未經(jīng)審查的第三方鏡像,該漏洞無法被黑客被利用,但為了業(yè)務(wù)安全,建議盡早修復(fù)。
方案一
對于測試用集群,建議刪除后重新創(chuàng)建,新版本UK8S集群已修復(fù)該漏洞(CVE-2019-5736);
方案二
僅升級runc版本,該方案為熱升級方案,理論上不會導(dǎo)致業(yè)務(wù)中斷,具體方案如下:
1.備份原有runc,UK8S的runc位于/usr/libexec/docker路徑下。
mv /usr/libexec/docker/docker-runc-current /usr/libexec/docker/docker-runc-current.$(date -Iseconds)2.下載修復(fù)的runc版本(對應(yīng)的容器版本為1.13.1,內(nèi)核版本為4.x),并替換原有的runc。
wget https://github.com/rancher/runc-cve/releases/download/CVE-2019-5736-build3/runc-v1.13.1-amd64
mv runc-v1.13.1-amd64 /usr/libexec/docker/docker-runc-current
##內(nèi)核版本為3.x
wget https://github.com/rancher/runc-cve/releases/download/CVE-2019-5736-build3/runc-v1.13.1-amd64-no-memfd_create3.配置可執(zhí)行權(quán)限
chmod +x /usr/libexec/docker/docker-runc-current4.測試新版本runc是否正常工作
/usr/libexec/docker/docker-runc-current -v
docker run -it --rm ubuntu echo OK方案三
升級Docker版本。將已有集群的Docker版本升級到18.09.2或以上。該方案會導(dǎo)致容器和業(yè)務(wù)中斷,請謹慎操作。
如在該漏洞過程中需要協(xié)助,請聯(lián)系UK8S團隊協(xié)助處理。
https://www.openwall.com/lists/oss-security/2019/02/11/2
https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/127211.html
摘要:產(chǎn)品價格產(chǎn)品本身不收取服務(wù)費用,但你需要為使用過程中用到的其他云產(chǎn)品付費。實時文檔歡迎訪問產(chǎn)品價格UK8S產(chǎn)品本身不收取服務(wù)費用,但你需要為使用UK8S過程中用到的其他云產(chǎn)品付費。在使用UK8S的過程中,您可能會使用到以下產(chǎn)品,具體如下:云主機 UHost收費說明云硬盤 UDisk收費說明文件存儲 UFS收費說明對象存儲 UFile收費說明負載均衡 ULB收費說明彈性IP EI...
摘要:會使用到以下產(chǎn)品的全部操作權(quán)限,例如代替你創(chuàng)建刪除云主機,由此產(chǎn)生的費用由你負責(zé),請知悉。如何識別由創(chuàng)建的云資源由創(chuàng)建的云資源名稱,都遵循明確的命名規(guī)范,具體詳見命名規(guī)范簡要說明如下名稱,如名稱為的云主機,是這個集群的節(jié)點。容器云UK8S使用必讀注意:通過UK8S創(chuàng)建的云主機、云盤、EIP等資源,刪除資源請不要通過具體的產(chǎn)品列表頁刪除,否則可能導(dǎo)致UK8S運行不正常或數(shù)據(jù)丟失風(fēng)險,可以通過U...
摘要:注意通過創(chuàng)建的云主機云盤等資源,刪除資源請不要通過具體的產(chǎn)品列表頁刪除,否則可能導(dǎo)致運行不正常或數(shù)據(jù)丟失風(fēng)險,可以通過將資源釋放或解綁刪除。會使用到以下產(chǎn)品的全部操作權(quán)限,例如代替你創(chuàng)建刪除云主機,由此產(chǎn)生的費用由你負責(zé),請知悉。注意:通過UK8S創(chuàng)建的云主機、云盤、EIP等資源,刪除資源請不要通過具體的產(chǎn)品列表頁刪除,否則可能導(dǎo)致UK8S運行不正常或數(shù)據(jù)丟失風(fēng)險,可以通過UK8S將資源釋放...
摘要:產(chǎn)品本身不收取服務(wù)費用,但你需要為使用過程中用到的其他云產(chǎn)品付費。UK8S產(chǎn)品本身不收取服務(wù)費用,但你需要為使用UK8S過程中用到的其他云產(chǎn)品付費。在使用UK8S的過程中,您可能會使用到以下產(chǎn)品,具體如下:UK8S產(chǎn)品價格UK8S產(chǎn)品本身不收取服務(wù)費用,但你需要為使用UK8S過程中用到的其他云產(chǎn)品付費。在使用UK8S的過程中,您可能會使用到以下產(chǎn)品,具體如下:云主機 UHost收費說明云硬...
摘要:詳細請見產(chǎn)品價格產(chǎn)品概念使用須知名詞解釋漏洞修復(fù)記錄集群節(jié)點配置推薦模式選擇產(chǎn)品價格操作指南集群創(chuàng)建需要注意的幾點分別是使用必讀講解使用需要賦予的權(quán)限模式切換的切換等。UK8S概覽UK8S是一項基于Kubernetes的容器管理服務(wù),你可以在UK8S上部署、管理、擴展你的容器化應(yīng)用,而無需關(guān)心Kubernetes集群自身的搭建及維護等運維類工作。了解使用UK8S為了讓您更快上手使用,享受UK...
摘要:產(chǎn)品概念是一項基于的容器管理服務(wù),你可以在上部署管理擴展你的容器化應(yīng)用,而無需關(guān)心集群自身的搭建及維護等運維類工作。完全兼容原生的,以私有網(wǎng)絡(luò)為基礎(chǔ),并整合了等云產(chǎn)品。其命名規(guī)范為。產(chǎn)品概念UCloud Container Service for Kubernetes (UK8S)是一項基于Kubernetes的容器管理服務(wù),你可以在UK8S上部署、管理、擴展你的容器化應(yīng)用,而無需關(guān)心Kub...
閱讀 472·2024-11-07 18:25
閱讀 130815·2024-02-01 10:43
閱讀 951·2024-01-31 14:58
閱讀 916·2024-01-31 14:54
閱讀 83027·2024-01-29 17:11
閱讀 3286·2024-01-25 14:55
閱讀 2076·2023-06-02 13:36
閱讀 3189·2023-05-23 10:26
