Linux社区现在正在解决一个最近发现的与Docker,CRI-O,containerted和Kubernetes使用的
runC容器
启动器有关的漏洞。
收到标识号
CVE-2019-5736的漏洞允许受感染的容器覆盖主机上的runC可执行文件并获得对其的根访问权限。 这使这样的容器可以控制主机,并使攻击者能够执行任何命令。
SUSE的runC支持工程师Alexa Sarai在Openwall上发布了一条
消息 ,指出此漏洞很可能会影响大多数容器处理工具。 此外,他指出,由于用户名称空间的正确实现,因此可以阻止该漏洞,在此情况下,不会执行主机的根用户到容器的用户名称空间的映射。
一些公司发现此漏洞很重要,并为其指定了适当的
等级 。 Sarai表示,根据CVSSv3规范,她的评分是10分中的7.2分。
已经开发了修补程序来修复此漏洞,所有使用runC的人都可以访问该漏洞。 许多软件开发人员和云服务提供商已采取步骤来安装此修补程序。
应当指出,runC工具是通过Docker的努力而产生的。 它是用于启动容器的OCI兼容命令行界面。
关于现代软件和硬件漏洞
尽管所讨论的漏洞并非仅适用于Kubernetes生态系统,但可以说,它延续了今年早些时候在此容器编排平台中发现的
关键漏洞的传统。 该漏洞影响了使用Kubernetes的所有系统;它为攻击者提供了在Kubernetes集群中运行的任何计算节点上的完全管理特权。
很快开发出了补丁程序来修复该漏洞,但是大多数专家随后指出,他们希望发现其他Kubernetes漏洞。
Aqua Security市场营销副总裁Rani Osnat表示,软件漏洞将始终存在。 确实已经发现了某个漏洞。 他相信还会发现其他漏洞,因为您可以从任何软件中找到它们。
云安全公司Lacework去年在Internet上
发现了超过21,000个开放容器编排系统和API,这些攻击者可能会成为网络犯罪分子的目标。 这些系统中包括集群Kubernetes,Docker Swarm,Mesos Marathon,Red Hat OpenShift等。
此外,Linux内核开发人员不会厌倦诸如Spectrum,Meltdown和Foreshadow之类的
硬件漏洞 。 Linux基金会成员Greg Croa-Hartman去年在温哥华举行的
开源峰会上表示,将来还会有其他类似的漏洞。
亲爱的读者们! 您是否已经保护您的系统免受runC漏洞的侵害?