Runc和CVE-2019-5736

blastz 發(fā)布于2019-07-01 17:03 / 1534人閱讀

摘要：中國論壇提案征集月日截止論壇讓用戶開發(fā)人員從業(yè)人員匯聚一堂，面對面進(jìn)行交流合作。贊助方案出爐多元化獎(jiǎng)學(xué)金現(xiàn)正接受申請即將首次合體落地中國

2月11日早上有宣布關(guān)于runc中的容器逃逸漏洞。我們希望為Kubernetes用戶提供一些指導(dǎo)，以確保每個(gè)人都安全。

Runc是什么？

簡單來說，runc是一個(gè)低層工具，它負(fù)責(zé)大量生成Linux容器。Docker、Containerd和CRI-O等其他工具位于runc之上，用于處理數(shù)據(jù)格式化和序列化等問題，但runc是所有這些系統(tǒng)的核心。

Kubernetes位于這些工具之上，因此雖然Kubernetes本身的任何部分都不容易受到攻擊，大多數(shù)Kubernetes安裝都使用了runc。

這個(gè)漏洞是關(guān)于？

雖然完整的細(xì)節(jié)仍然被禁止以提供人們時(shí)間補(bǔ)丁，但粗略的版本是：當(dāng)在容器內(nèi)以root（UID 0）運(yùn)行進(jìn)程時(shí)，該進(jìn)程可以利用runc中的錯(cuò)誤來獲取運(yùn)行容器的主機(jī)的root權(quán)限。然后，這允許他們無限制地訪問服務(wù)器以及該服務(wù)器上的任何其他容器。

如果容器內(nèi)的進(jìn)程是可信任的（是你知道的東西而不是敵對的）或者沒有以UID 0運(yùn)行，則不受該漏洞影響。如果已應(yīng)用適當(dāng)?shù)恼撸琒ELinux也可以阻止它。RedHat Enterprise Linux和CentOS都在其軟件包中包含適當(dāng)?shù)腟ELinux權(quán)限，因此如果啟用SELinux，則應(yīng)該不受影響。

最常見的風(fēng)險(xiǎn)來源是攻擊者-控制器（attacker-controller）容器鏡像，例如來自公共存儲庫的未經(jīng)審查的鏡像。

我該怎么辦？

與所有安全問題一樣，兩個(gè)主要選項(xiàng)是緩解漏洞，或?qū)unc版本升級到包含此修補(bǔ)程序的版本。

由于漏洞需要容器內(nèi)的UID 0，因此直接緩解是確保所有容器都以非0用戶身份運(yùn)行。這可以在容器鏡像中設(shè)置，也可以通過pod規(guī)范設(shè)置：

apiVersion: v1
kind: Pod
metadata:
  name: run-as-uid-1000
spec:
  securityContext:
    runAsUser: 1000
  # ...

這也可以使用PodSecurityPolicy全局實(shí)施：

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: non-root
spec:
  privileged: false
  allowPrivilegeEscalation: false
  runAsUser:
    # Require the container to run without root privileges.
    rule: "MustRunAsNonRoot"

考慮到在容器內(nèi)作為UID 0運(yùn)行的整體風(fēng)險(xiǎn)，強(qiáng)烈建議設(shè)置這樣的政策。

另一個(gè)潛緩解措施是確保所有容器鏡像都經(jīng)過審查和可信任。這可以通過自己構(gòu)建所有鏡像，或者通過審查鏡像的內(nèi)容然后固定到鏡像版本哈希來實(shí)現(xiàn)（image：external/someimage@sha256:7832659873hacdef）。

升級runc通常可以通過升級你的發(fā)行版的軟件包runc，或通過升級你的操作系統(tǒng)鏡像（如果使用不可變鏡像）來完成。這是各種發(fā)行版和平臺的已知安全版本列表：

Ubuntu - runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1

Debian - runc 0.1.1+dfsg1-2

RedHat Enterprise Linux - docker 1.13.1-91.git07f3374.el7 (if SELinux is disabled)

Amazon Linux - docker 18.06.1ce-7.25.amzn1.x86_64

CoreOS - 2051.0.0

Kops Debian - in progress

Docker - 18.09.2

一些平臺還發(fā)布了更具體的說明：

Google Container Engine (GKE)

Google發(fā)布了一份包含更多詳細(xì)信息的安全公告，但簡而言之，如果你使用默認(rèn)的GKE節(jié)點(diǎn)鏡像，那么你就是安全的。如果你使用的是Ubuntu節(jié)點(diǎn)鏡像，則需要緩解或使用已知安全版本的runc來升級鏡像。

Amazon Elastic Container Service for Kubernetes (EKS)

亞馬遜還發(fā)布了一份包含更詳細(xì)信息的安全公告。所有EKS用戶都應(yīng)該緩解問題或升級到新節(jié)點(diǎn)鏡像。

Docker

我們沒有具體確認(rèn)Docker for Mac和Docker for Windows是易受攻擊的，但似乎很可能。Docker發(fā)布了18.09.2版本的修復(fù)程序，建議你升級到它。這也適用于使用Docker的其他部署系統(tǒng)。

如果您無法升級Docker，Rancher團(tuán)隊(duì)已在github.com/rancher/runc-cve上為許多舊版本提供了修復(fù)的后端。

獲取更多信息

如果你對此漏洞如何影響Kubernetes有任何疑問，請通過discuss.kubernetes.io加入我們的討論。

如果你想與runc團(tuán)隊(duì)取得聯(lián)系，你可以通過Google網(wǎng)上論壇或Freenode IRC上的#opencontainers與他們聯(lián)系。

KubeCon + CloudNativeCon中國論壇提案征集（CFP）2月22日截止

KubeCon + CloudNativeCon 論壇讓用戶、開發(fā)人員、從業(yè)人員匯聚一堂，面對面進(jìn)行交流合作。與會人員有 Kubernetes、Prometheus 及其他云原生計(jì)算基金會 (CNCF) 主辦項(xiàng)目的領(lǐng)導(dǎo)，和我們一同探討云原生生態(tài)系統(tǒng)發(fā)展方向。

中國開源峰會提案征集（CFP）2月22日截止

在中國開源峰會上，與會者將共同合作及共享信息，了解最新和最有趣的開源技術(shù)，包括Linux、IoT、區(qū)塊鏈、AI、網(wǎng)絡(luò)等；并獲得如何在開源社區(qū)中導(dǎo)向和引領(lǐng)的信息。

大會日期：

提案征集截止日期：太平洋標(biāo)準(zhǔn)時(shí)間 2 月 22 日，星期五，晚上 11:59

提案征集通知日期：2019 年 4 月 8 日

會議日程通告日期：2019 年 4 月 10 日

會議活動舉辦日期：2019 年 6 月 24 至 26 日

提醒：這是一場社區(qū)會議。因此，讓我們盡量避開公然推銷產(chǎn)品和/或供應(yīng)商銷售宣傳。

KubeCon + CloudNativeCon + Open Source Summit贊助方案出爐

KubeCon + CloudNativeCon + Open Source Summit多元化獎(jiǎng)學(xué)金現(xiàn)正接受申請

KubeCon + CloudNativeCon + Open Source Summit即將首次合體落地中國