RunC容器逃逸漏洞席卷业界,网易云如何做到实力修复?

42次阅读

共计 1105 个字符,预计需要花费 3 分钟才能阅读完成。

近日,业界爆出的 runC 容器越权逃逸漏洞 CVE-2019-5736,席卷了整个基于 runC 的容器云领域,大量云计算厂商和采用容器云的企业受到影响。网易云方面透露,经过技术团队的紧急应对,网易云上的容器服务已经被成功修复,网易云公有云客户在无感知、且不需要增加运维成本的情况下升级到安全的容器云环境,没有任何客户受到该漏洞的影响。
RunC 由 Docker 公司开发,后来成为开放容器标准(OCI)被广泛使用,而容器则成为了标准的云原生基础架构,不仅是各家云服务商的标配产品,也是企业赖以开展创新业务实现数字化转型的核心工具。此次曝出的 runC 严重漏洞,使攻击者能够以 root 身份在宿主机上执行任何命令,这给所有基于容器的创新业务带来了意外的风险,引起了云服务商和企业的一致重视。

CVE 安全漏洞信息网站(https://cve.mitre.org/cgi-bin…)显示,Kubernetes、Docker、containerd 或者其他基于 runC 的容器技术在运行时层存在安全漏洞,攻击者可以通过特定的恶意容器镜像或者 exec 操作,获取到宿主机 runC 运行时的文件句柄并修改掉 runC 的二进制文件,从而获取到宿主机的 root 执行权限。18.09.2 以下的 Docker 版本或者 1.0-rc6 以下的 runC 版本均受到影响。
漏洞被披露后,红帽的容器技术产品经理 Scott McCarty 警告称,“利用此漏洞,恶意代码可能会肆意蔓延,不仅影响单个容器,还会影响整个容器主机,最终会破坏主机上运行的成百上千个容器。”可能会造成企业 IT 的世界末日。
网易云也基于 OCI 规范的技术提供 Serverless 公有云容器服务,因而也被该漏洞波及。漏洞被曝出后,runC 的维护者、SUSE 高级软件工程师 Aleksa Saraipush 已经在 Github 提交代码修复了这个漏洞:https://github.com/opencontai…。
网易云技术团队则迅速完成分析和 POC 测试,并以最高优先级处理该漏洞,紧急上线了漏洞修复方案,最终完全消除了该漏洞可能产生的影响,确保了公有云服务的安全性。
McCarty 表示,这不是第一个主要的容器运行时安全漏洞,也不会是最后一个。网易云工程师认为,容器和微服务在数字经济中的魅力已经彰显,企业不能因噎废食,放弃技术改造,但也需要及时升级,针对安全漏洞打好补丁,或者选择实力强劲、服务专业的云计算技术服务商,为自己的数字化转型任务打造安全可信的技术平台。
网易云旗下的轻舟微服务是围绕应用和微服务打造的一站式 PaaS 平台,帮助用户快速实现易接入、易运维的微服务解决方案,点击查看详情。
文章来源:网易云社区

正文完
 0