【安全预警】关于runc容器逃逸漏洞通知

最新推荐文章于 2025-09-28 10:55:59 发布
转载 最新推荐文章于 2025-09-28 10:55:59 发布 · 215 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/3799788/blog/3010177
文章标签:

#运维

腾讯云安全中心发现runc存在容器逃逸漏洞,允许恶意容器覆盖Host上的runc文件,以root权限执行代码,威胁容器及主机安全。CVSSv3评分为7.2,属高风险。

尊敬的腾讯云客户,您好: 

   近日,腾讯云安全中心监测发现轻量级容器运行环境runc被爆存在容器逃逸漏洞,攻击者可以在利用该漏洞覆盖Host上的runc文件,从而在Host上以root权限执行代码。

        为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

 

【漏洞详情】

         runc是一个轻量级通用容器运行环境,它是一个命令行工具,可以根据开放容器方案(Open Container Initiative)生成和运行容器,该漏洞若被利用,会允许恶意容器(以最少的用户交互)覆盖Host上的runc文件,从而在Host上以root权限执行代码,进而攻击其它容器或Host。目前CVSSv3官方评分达7.2分。

 

【风险等级】

   高风险

 

【漏洞风险】

   容器逃逸攻击风险,存在漏洞的runc被利用后可以获取Host的root权限,并利用该权限攻击其他容器或机器。

 

【影响版本】

       除runc之外,Apache Mesos、LXC也在受影响之列。

 

【修复建议】

        若您使用的是腾讯云容器服务TKE, 您可以通过以下方法进行漏洞修复

        1. TKE 已经修复增量版本,新创建的集群和新加入的节点不受影响


        2.若Docker版本为17.12.1的容器节点,可用root权限执行以下命令升级runc版本。此方法不影响该节点正在运行的业务。


        wget  http://static.ccs.tencentyun.com/docker17.12-runc-e25b2183f 

        chmod +x ./docker17.12-runc-e25b2183f
        mv /usr/bin/docker-runc /usr/bin/docker-runc-$(date -Iseconds)
        mv docker17.12-runc-e25b2183f /usr/bin/docker-runc 


         验证是否升级成功:
         执行docker-runc -v, 应该看到如下版本信息:


         runc version 1.0.0-rc4+dev
         commit: e25b2183f48e942cb41582898acbf7e24b5d2f31
         spec: 1.0.0


         3. 目前TKE已修复增量Docker版本,您存量的节点可以通过移出集群再加入集群触发节点重新初始化进行修复。此方法不限制Docker版本但会造成节点重启。

 

【漏洞参考】

  1)漏洞详情:https://www.openwall.com/lists/oss-security/2019/02/11/2

  2)修复参考:https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b 

  3)LXC修复:https://github.com/lxc/lxc/commit/6400238d08cdf1ca20d49bafb85f4e224348bf9d

转载于:https://my.oschina.net/u/3799788/blog/3010177

chouchen4738
关注
Docker逃逸--runc容器逃逸漏洞(CVE-2019-5736)
07-26 2万+
漏洞简述: 攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 利用条件: Docker版本 < 18.09.2,runc版本< 1.0-rc6。(在Docker 18.09.2之前的版本中使用了的runc版本小于1.0-rc6。) 可通过 docker 和docker-r...
漏洞复现】Docker runC 容器逃逸漏洞(CVE-2019-5736)
李同學的安全圈
12-09 5994
2019年2月11日,runC的维护团队报告了一个新发现的漏洞,SUSE Linux GmbH高级软件工程师Aleksa Sarai公布了影响Docker, containerd, Podman, CRI-O等默认运行时容器runc的严重漏洞CVE-2019-5736。漏洞会对IT运行环境带来威胁,漏洞利用会触发容器逃逸、影响整个容器主机的安全,最终导致运行在该主机上的其他容器被入侵。漏洞影响AWS, Google Cloud等主流云平台。日前,该容器逃逸漏洞的PoC利用代码已在GitHub上公布。
[漏洞修复]Docker runc容器逃逸漏洞(CVE-2021-30465)
水布天
04-11 3833
runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。runc是一个轻量级通用容器运行环境,它允许一个简化的探针到运行和调试的底层容器的功能,不需要整个docker守护进程的接口。如果采取替换runc二进制文件进行漏洞修复,针对不同的操作系统发行版,需要替换对应操作系统发行版提供的runc二进制文件。
新近爆出的runC容器逃逸漏洞,用户如何面对?
weixin_33912445的博客
02-13 318
runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI工具,目前Docker引擎内部也是基于runc构建的。 2019年2月11日,研究人员通过oss-security邮件列表(https://www.openwall.com/list... )披露了runc容器逃逸漏洞的详情,根据Ope...
腾讯云发布runC容器逃逸漏洞修复公告
weixin_34233856的博客
02-14 229
尊敬的腾讯云客户,您好:   近日,腾讯云安全中心监测发现轻量级容器运行环境runc被爆存在容器逃逸漏洞,攻击者可以在利用该漏洞覆盖Host上的runc文件,从而在Host上以root权限执行代码。 为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 【漏洞详情】 runc是一个轻量级通用容器运行环境,它是一个命令行工具,可...
C#云原生应用的量子加密防御体系:从SQL注入到容器逃逸的零日漏洞拦截(附百万级微服务实战代码)
墨夶的博客
06-05 462
真正的云原生安全不是‘防御漏洞’,而是构建‘事件视界’——让攻击者在接近系统的瞬间被‘量子引力’撕裂!:实现跨服务的‘量子纠缠’身份验证。:防止SQL注入的‘波函数坍缩’:Kubernetes集群部署。:阻止容器逃逸的‘熵增’
23、容器管理平台与安全保障
最新发布
ss78901的博客
09-28 30
本文深入探讨了主流容器管理平台(如Rancher、Clocker、Tutum)的特点与适用场景,并对比了Swarm、Kubernetes、Mesos等编排工具。文章系统分析了容器面临的安全问题,包括内核漏洞、拒绝服务攻击、容器逃逸、中毒镜像和机密信息泄露,提出了纵深防御、最小权限原则等应对策略,并详细介绍了保障应用安全的具体措施。此外,还展望了容器管理与安全的未来趋势,如集成化平台、智能化管理、零信任架构和软件供应链安全,为企业构建高效、安全的容器化系统提供了全面指导。
PAAS容器安全防护
weixin_45540609的博客
08-11 1058
一、风险和挑战 1、脆弱性和安全 (1)软件风险 a、局域网攻击 从网络实现来看,Docker 支持多种组网模式,在默认的桥接模式组网下,即同一主机上 创建的容器都桥接挂在网桥 docker0 上,这样同一主机上的容器之间可以构成局域网, 因此针对局域网的 ARP 欺骗、嗅探、广播风暴等攻击方式将会对这些容器造成安全威 胁。所以在一个主机上部署多个容器需要进行合理的网络配置,设置访问控制规则,实现 网络之间的隔离和边界。 b、拒绝服务攻击 容器实例共享主机的资源,也就是说底层的 CPU、内存和磁
部署docker容器虚拟化平台:Docker安全漏洞分析与防范措施探讨
Docker 容器虚拟化平台概述 ## 1.1 Docker 容器虚拟化技术简介 在当今云计算时代,容器虚拟化技术正变得越来越流行。Docker 作为一种轻量级、快速部署的容器虚拟化技术,受到了广泛关注。相比于传统的虚拟机技术...
云原生领域中镜像安全的重要性及防护策略
AI云原生与云计算技术学院
05-20 691
随着Kubernetes等容器编排技术的普及,云原生架构已成为企业数字化转型的核心基础设施。容器镜像作为云原生应用的"数字基石",承载着应用代码、运行时环境及依赖组件,其安全性直接决定了容器化应用的安全基线。本文聚焦容器镜像在构建、存储、分发、运行全生命周期中的安全风险,系统阐述技术原理、防护策略及实战方法,为企业建立镜像安全治理体系提供理论与实践指导。背景介绍:明确镜像安全的核心价值与目标读者核心概念:解析容器镜像技术架构及安全关键要素风险分析:梳理镜像生命周期各阶段安全威胁模型。
腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞
09-25
9 月 19 日,腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码。      云鼎实验室通过对于漏洞描述,搭建漏洞环境,并对其进行复现。此漏洞为高危漏洞,即使是非默认配置,但是一旦存在漏洞,那么攻击者可以成功上传 webshell,并控制服务器。 复现 根据描述,在 Windows 服务器下,将 readonly 参数设置为 false 时,即可通过 PUT 方式创建一个 JSP 文件,并可以执行任意代码。    通过阅读 conf/web.xml 文件,可以发现:   默认 readonly 为 true,当 readonly 设置为 false 时,可以通过 PUT / DELETE 进行文件操控。   配置 readonly 为 false: 启动 Tomcat,利用 PUT 请求创建文件: 提示 404。通过描述中的 Windows 受影响,可以结合 Windows 的特性。其一是 NTFS 文件流,其二是文件名的相关限制(如 Windows 中文件名不能以空格结尾)来绕过限制:  访问发现可以正常输出:  分析 Tomcat 的 Servlet 是在 conf/web.xml 配置的,通过配置文件可知,当后缀名为 .jsp 和 .jspx 的时候,是通过JspServlet处理请求的:   可以得知,“1.jsp ”(末尾有一个和空格)并不能匹配到 JspServlet,而是会交由DefaultServlet去处理。当处理 PUT 请求时: 会调用resources.rebind: dirContext 为FileDirContext: 调用 rebind创建文件: 又由于 Windows 不允许“ ”作为文件名结尾,所以会创建一个 .jsp 文件,导致代码执行。 Bypass 分析 然而,经过黑盒测试,当 PUT 地址为/1.jsp/时,仍然会创建 JSP,会影响 Linux 和 Windows 服务器,并且 Bypass 了之前的补丁,分析如下。  在进入 bind 函数时,会声明一个 File 变量: 进入 File 后,会对 name 进行 normalize 最后得到的 path 就是没有最后 / 的 path 了: 影响  由于存在去掉最后的 / 的特性,那么这个漏洞自然影响 Linux 以及 Windows 版本。而且经过测试,这个漏洞影响全部的 Tomcat 版本,从 5.x 到 9.x 无不中枪。目前来说,最好的解决方式是将 conf/web.xml 中对于 DefaultServlet 的 readonly 设置为 true,才能防止漏洞
Docker Runc容器逃逸漏洞(CVE-2021-30465)离线修复
THZLYXX的博客
02-02 1581
runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。如果采取替换runc二进制文件进行漏洞修复,针对不同的操作系统发行版,需要替换对应操作系统发行版提供的runc二进制文件。runc官方下载链接:https://github.com/opencontainers/runc/releases/6.检查runc版本。
【Linux】修复 runc 文件描述符泄漏导致容器逃逸漏洞(CVE-2024-21626)
weixin_47610533的博客
07-17 1809
runc 1.1.11 及之前的版本中,由于内部文件描述符泄露的问题,攻击者可以让新生成的容器进程在宿主文件系统命名空间中拥有工作目录,从而允许通过访问宿主文件系统实现容器逃逸等用需要具体的环境,例如允许攻击者提供自定义镜像等。官方已于2024年2月1日发布安全更新,建议相关受影响用户升级。
Docker runC 严重安全漏洞导致容器逃逸修复方法(CVE-2019-5736 )
zhangyuxun3的博客
03-30 3464
漏洞详情: Docker、containerd或者其他基于runc容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。
Docker runC 严重安全漏洞CVE-2019-5736 导致容器逃逸
weixin_34392435的博客
03-07 732
漏洞详情: Docker、containerd或者其他基于runc容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 影响范围: 对于阿里云容器服务来说,影响范围: Docker版本 < 18.09.2 的所有Docker Swarm集群和Kuberne...
docker的逃逸复现(CVE-2020-15257-host模式容器逃逸漏洞
m0_63306943的博客
02-28 1612
因为docker所使用的是隔离技术,就导致了容器内的进程无法看到外面的进程,但外面的进程可以看到里面,所以如果一个 Docker 容器内部可以操作该容器的外部资源,一般理解为操作宿主机的行为。叫做docker逃逸。host模式这种模式下,容器和主机已经没有网络隔离了,它们共享同一个网络命名空间,容器的网络配置和主机完全一样,使用主机的IP地址和端口,可以查看到主机所有网卡信息、网络资源,在网络性能上没有损耗。但也正是因为没有网络隔离,容器和主机容易产生网络资源冲突、争抢,以及其他的一些问题。
docker基线安全修复和容器逃逸修复
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
02-29 2021
Docker 是一种常用的容器化技术,但在使用过程中也存在一些常见的漏洞。以下是一些常见的 Docker 漏洞及其修复方法:
Docker Runc容器逃逸浅析
qq_61620566的博客
11-02 1489
Docker runC容器逃逸学习原理及利用方式浅析
Jeremy Watson防火墙漏洞预警与日志审计安全防护
资源摘要信息:"「漏洞预警」Jeremy Watson - 防火墙.zip" 1. 漏洞预警 ...这些资料可能是关于他如何发现漏洞、推荐的安全方案、实施安全防护的策略,或者是关于Linux系统和DDoS攻击防御的详细分析和指南。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值