常用容器管理器易受危险 exploit 攻击
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
一个常见的容器管理组件生成服务 “shim” 的方式中存在一个漏洞,可导致未获授权的第三方以任意内容和任意权限级别初始化容器。
该漏洞是由 NCC 集团的研究员发现的,存在于核心容器运行时 containerd中。具体而言,containerd-shim 监听 Unix 域套接字种是否存在和其管理的容器相关的信息。这是近期为 Docker 和其它容器管理系统披露的多个弱点和漏洞之一。
Containerd-shim 是由containerd生成的一个二进制,作为容器的parent。它负责执行容器的生命周期和侦察逻辑。之后使用 containerd shim API 作为containerd 的网络连接。一般而言,containerd-shim 将使用抽象的 Unix 域套接字监听并创建该容器。这些抽象的 Unix 域套接字和 Unix 命名空间而非特定的文件路径绑定。而这种宽泛的绑定即是麻烦的源头。
鉴于命名空间绑定,containerd-shim 将暴露可从容器种逃逸的 API 并在主机服务器上执行权限命令。该漏洞可导致攻击者相对容易地获得 root 访问权限。当然运行容器的最佳实践是通过降低的权限集运行,即使用非0 UID 并且通过隔离的命名空间运行。确实,containerd 维护人员强烈反对和主机共享命名空间的行为。话虽如此,但太多的容器都以 root 权限运行。
Red Hat 发布安全公告表示,即使 OpenShift 使用了 cri-o 容器运行时因此而免疫,但“这样做可导致在同样网络命名空间中以 shim 运行的恶意容器,实际上的 UID 为0 但却以降低后的权限运行,从而导致新进程以提升后的权限运行。该漏洞带来的最大威胁是威胁到数据的机密性和完整性以及系统的可用性。” 因此,Red Hat 给该漏洞的CVSS评分是8.8。虽然并不属于“马上修复“的级别,但确实应引起足够重视。
NCC 集团发布了加固 containerd 安全的多个建议,并指出该漏洞已在 containerd 1.3.9 和 1.4.3 中修复。不过在部署修复方案之前必须重启任意正在运行的容器,原因在于老旧的正在运行的容器即使在升级后仍然易受攻击。
从现在开始,停止以 root 身份或在 root 网络命名空间中运行容器。即使现在打补丁消除这个问题,但当下次又出现严重的 containerd 漏洞时,或许我们并不会如此幸运。
推荐阅读
Canonical 在 Docker Hub 上发布安全容器应用镜像
这个容器逃逸 exploit 获得首届年度谷歌云平台大奖10万美元
原文链接
https://www.darkreading.com/cloud/common-container-manager-is-vulnerable-to-dangerous-exploit/d/d-id/1339607
https://thenewstack.io/new-containerd-security-hole-needs-to-be-patched-asap/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
常用容器管理器易受危险 exploit 攻击相关推荐
- java常用布局管理器(流布局管理器、边界布局管理器、网格布局管理器)
在Swing中,每个组件在容器中都有一个具体的位置大小.而在容器中摆放各种组件时很难判断其具体位置和大小,使用布局管理器比程序员直接在容器中控制Swing组件的位置和大小方便得多,可以更加有效地处理整 ...
- Java GUI编程的几种常用布局管理器
Java GUI编程的几种常用布局管理器 本人是一个大二的学生.因为最近有做JavaGUI界面的需求,因此重新开始熟悉JavaGUI的各种控件和布局.然后以次博文为笔记,总结.完善以及发表最近学习的一 ...
- Anbox 实现分析 3:会话管理器与容器管理器的通信
Anbox 通过一个可执行文件,实现多个不同的应该用逻辑.在启动 Anbox 可执行文件时,通过为它提供不同的命令行参数来确定具体执行哪个命令.Anbox 中这些不同的命令实例之间,整体的通信架构如下 ...
- 近300个 Windows 10 可执行文件易受 DLL 劫持攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 一个简单的 VBScript就能使用户获得管理员权限并完全绕过Windows 10 的 UAC. 英国普华永道公司的安全研究员 Wie ...
- Node.js 沙箱易受原型污染攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员表示,用于测试不可信 JavaScript 代码的沙箱 vm2 中存在一个漏洞,可使恶意人员规避该库的安全控制并执行远程代码执行攻击. ...
- 【JAVA】-- Java五大常用布局管理器(BorderLayout、FlowLayout、GridLayout、GridBagLayout、CardLayout)
在Swing组件中,有JFrame和JDialog这样的顶级容器(也叫窗口),顶级容器不能放置在其他容器中,可完成窗口大小化等基本功能. 也有JPanel这样的面板组件,比较复杂的布局,需要布局管理器 ...
- QT 常用布局管理器
Qt布局管理详解 详解 QT 布局管理界面 图文并茂 QT主要布局管理器分类 QHBoxLayout(水平布局) 把子窗口从左到右排列在一个水平行上. QWidget *window = new QW ...
- Mastodon 用户易受密码窃取攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 一名研究员发现,最近逐渐流行起来的推特替代品Mastodon的一个分叉 Glitch 中存在一个漏洞,可导致攻击者窃取Mastodon 用户的密 ...
- Apache OpenOffice 漏洞使数千万用户易受代码执行攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache OpenOffice 中存在一个缓冲区溢出漏洞,可被用于在使用恶意文档的目标机器上执行任意代码. 该漏洞的编号是CVE-2021- ...
最新文章
- C++ stack容器
- 实验二 建立基本的游戏场景
- LintCode Find the Weak Connected Component in the Directed Graph
- LeetCode - Medium - 114. Flatten Binary Tree to Linked List
- linux管道通信机制有哪两种,linux的管道通信机制
- DHCP+VTP(实验讲解+配置)
- php 二维数组按照某value值求出最大值最小值
- 怎么把一个Java应用打包成Docker镜像
- 微信小程序引用php函数,微信小程序Page中data数据操作和函数调用详细介绍
- 在tomcat下context.xml中配置各种数据库连接池(转)
- FPN相关问题学习记录
- 【mysql】使数据表ID连续的两个方法
- ZK(7.0.1)将zul页面引入作为组件标签的简单示例
- 免费SSL证书的制作
- flash, sparkle, glow, gleam, twinkle, glitter
- 互联网快讯:微软官宣加入JCP计划;极米投影产品双十一持续热销;俞敏洪将带百名老师直播带货卖农产品
- 物联网毕业设计题目选题大全
- 易语言linux数据库模块,易语言ADO数据库对象模块源码
- 《物联网安全关键技术白皮书》解读
- CQF项目课程学习介绍(一)