成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專(zhuān)欄INFORMATION COLUMN

容器云 UK8S

ernest.wang / 2772人閱讀

摘要:本篇目錄漏洞詳情漏洞詳情影響范圍影響范圍修復(fù)方案修復(fù)方案參考鏈接參考鏈接已于年月日修復(fù)容器逃逸漏洞,并通過(guò)攻防測(cè)試。下載修復(fù)的版本對(duì)應(yīng)的容器版本為,內(nèi)核版本為,并替換原有的。該方案會(huì)導(dǎo)致容器和業(yè)務(wù)中斷,請(qǐng)謹(jǐn)慎操作。

CVE-2019-5736

本篇目錄

漏洞詳情影響范圍修復(fù)方案參考鏈接

UK8S已于2019年2月14日15:00修復(fù)runc容器逃逸漏洞,并通過(guò)攻防測(cè)試。本文主要介紹2019年2月14日之前創(chuàng)建的集群修復(fù)辦法。

漏洞詳情

runc被曝存在容器逃逸漏洞。該漏洞允許惡意容器(以最少的用戶(hù)交互)覆蓋host上的runc文件,從而在host上以root權(quán)限執(zhí)行代碼。在下面兩種情況下,通過(guò)用戶(hù)交互可以在容器中以root權(quán)限執(zhí)行任意代碼: 1.使用攻擊者控制的鏡像創(chuàng)建新容器。 2.進(jìn)入到攻擊者之前具有寫(xiě)入權(quán)限的現(xiàn)有容器中(docker exec)。

影響范圍

** 2019年2月14日15:00之前創(chuàng)建的集群**

此批集群的Docker版本為1.13.1,runc版本<1.0-rc6,存在安全隱患,需要修復(fù)。

2019年2月14日15:00之后創(chuàng)建的集群已修復(fù)該漏洞,并已通過(guò)攻防測(cè)試無(wú)需擔(dān)心。

由于UK8S為單租戶(hù)模式,如果之前未在UK8S集群內(nèi)部署未經(jīng)審查的第三方鏡像,該漏洞無(wú)法被黑客被利用,但為了業(yè)務(wù)安全,建議盡早修復(fù)。

修復(fù)方案

方案一

對(duì)于測(cè)試用集群,建議刪除后重新創(chuàng)建,新版本UK8S集群已修復(fù)該漏洞(CVE-2019-5736);

方案二

僅升級(jí)runc版本,該方案為熱升級(jí)方案,理論上不會(huì)導(dǎo)致業(yè)務(wù)中斷,具體方案如下:

1.備份原有runc,UK8S的runc位于/usr/libexec/docker路徑下。

mv /usr/libexec/docker/docker-runc-current /usr/libexec/docker/docker-runc-current.$(date -Iseconds)

2.下載修復(fù)的runc版本(對(duì)應(yīng)的容器版本為1.13.1,內(nèi)核版本為4.x),并替換原有的runc。

wget https://github.com/rancher/runc-cve/releases/download/CVE-2019-5736-build3/runc-v1.13.1-amd64
mv runc-v1.13.1-amd64  /usr/libexec/docker/docker-runc-current
##內(nèi)核版本為3.x
wget https://github.com/rancher/runc-cve/releases/download/CVE-2019-5736-build3/runc-v1.13.1-amd64-no-memfd_create

3.配置可執(zhí)行權(quán)限

chmod +x /usr/libexec/docker/docker-runc-current

4.測(cè)試新版本runc是否正常工作

/usr/libexec/docker/docker-runc-current -v
docker run -it --rm ubuntu echo OK

方案三

升級(jí)Docker版本。將已有集群的Docker版本升級(jí)到18.09.2或以上。該方案會(huì)導(dǎo)致容器和業(yè)務(wù)中斷,請(qǐng)謹(jǐn)慎操作。

如在該漏洞過(guò)程中需要協(xié)助,請(qǐng)聯(lián)系UK8S團(tuán)隊(duì)協(xié)助處理。

參考鏈接

https://www.openwall.com/lists/oss-security/2019/02/11/2

https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/

文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/127211.html

相關(guān)文章

  • 容器 UK8S】產(chǎn)品價(jià)格:容器UK8S是免費(fèi)的嗎?容器UK8S價(jià)格表

    摘要:產(chǎn)品價(jià)格產(chǎn)品本身不收取服務(wù)費(fèi)用,但你需要為使用過(guò)程中用到的其他云產(chǎn)品付費(fèi)。實(shí)時(shí)文檔歡迎訪問(wèn)產(chǎn)品價(jià)格UK8S產(chǎn)品本身不收取服務(wù)費(fèi)用,但你需要為使用UK8S過(guò)程中用到的其他云產(chǎn)品付費(fèi)。在使用UK8S的過(guò)程中,您可能會(huì)使用到以下產(chǎn)品,具體如下:云主機(jī) UHost收費(fèi)說(shuō)明云硬盤(pán) UDisk收費(fèi)說(shuō)明文件存儲(chǔ) UFS收費(fèi)說(shuō)明對(duì)象存儲(chǔ) UFile收費(fèi)說(shuō)明負(fù)載均衡 ULB收費(fèi)說(shuō)明彈性IP EI...

    Tecode 評(píng)論0 收藏0

  • 容器 UK8S】使用必讀:授權(quán)給UK8S產(chǎn)品的管理權(quán)限、請(qǐng)勿隨意操作由UK8S創(chuàng)建的資源、請(qǐng)盡

    摘要:會(huì)使用到以下產(chǎn)品的全部操作權(quán)限,例如代替你創(chuàng)建刪除云主機(jī),由此產(chǎn)生的費(fèi)用由你負(fù)責(zé),請(qǐng)知悉。如何識(shí)別由創(chuàng)建的云資源由創(chuàng)建的云資源名稱(chēng),都遵循明確的命名規(guī)范,具體詳見(jiàn)命名規(guī)范簡(jiǎn)要說(shuō)明如下名稱(chēng),如名稱(chēng)為的云主機(jī),是這個(gè)集群的節(jié)點(diǎn)。容器云UK8S使用必讀注意:通過(guò)UK8S創(chuàng)建的云主機(jī)、云盤(pán)、EIP等資源,刪除資源請(qǐng)不要通過(guò)具體的產(chǎn)品列表頁(yè)刪除,否則可能導(dǎo)致UK8S運(yùn)行不正常或數(shù)據(jù)丟失風(fēng)險(xiǎn),可以通過(guò)U...

    Tecode 評(píng)論0 收藏0

  • 容器 UK8S】操作指南:使用必讀之授權(quán)給UK8S產(chǎn)品的管理權(quán)限,規(guī)避將業(yè)務(wù)部署在Master

    摘要:注意通過(guò)創(chuàng)建的云主機(jī)云盤(pán)等資源,刪除資源請(qǐng)不要通過(guò)具體的產(chǎn)品列表頁(yè)刪除,否則可能導(dǎo)致運(yùn)行不正?;驍?shù)據(jù)丟失風(fēng)險(xiǎn),可以通過(guò)將資源釋放或解綁刪除。會(huì)使用到以下產(chǎn)品的全部操作權(quán)限,例如代替你創(chuàng)建刪除云主機(jī),由此產(chǎn)生的費(fèi)用由你負(fù)責(zé),請(qǐng)知悉。注意:通過(guò)UK8S創(chuàng)建的云主機(jī)、云盤(pán)、EIP等資源,刪除資源請(qǐng)不要通過(guò)具體的產(chǎn)品列表頁(yè)刪除,否則可能導(dǎo)致UK8S運(yùn)行不正?;驍?shù)據(jù)丟失風(fēng)險(xiǎn),可以通過(guò)UK8S將資源釋放...

    Tecode 評(píng)論0 收藏0

  • 容器 UK8S】產(chǎn)品價(jià)格說(shuō)明:UK8S產(chǎn)品本身不收取服務(wù)費(fèi)用,需要為使用UK8S過(guò)程中用到的其他

    摘要:產(chǎn)品本身不收取服務(wù)費(fèi)用,但你需要為使用過(guò)程中用到的其他云產(chǎn)品付費(fèi)。UK8S產(chǎn)品本身不收取服務(wù)費(fèi)用,但你需要為使用UK8S過(guò)程中用到的其他云產(chǎn)品付費(fèi)。在使用UK8S的過(guò)程中,您可能會(huì)使用到以下產(chǎn)品,具體如下:UK8S產(chǎn)品價(jià)格UK8S產(chǎn)品本身不收取服務(wù)費(fèi)用,但你需要為使用UK8S過(guò)程中用到的其他云產(chǎn)品付費(fèi)。在使用UK8S的過(guò)程中,您可能會(huì)使用到以下產(chǎn)品,具體如下:云主機(jī) UHost收費(fèi)說(shuō)明云硬...

    Tecode 評(píng)論0 收藏0

  • 容器UK8S】新手指導(dǎo)

    摘要:詳細(xì)請(qǐng)見(jiàn)產(chǎn)品價(jià)格產(chǎn)品概念使用須知名詞解釋漏洞修復(fù)記錄集群節(jié)點(diǎn)配置推薦模式選擇產(chǎn)品價(jià)格操作指南集群創(chuàng)建需要注意的幾點(diǎn)分別是使用必讀講解使用需要賦予的權(quán)限模式切換的切換等。UK8S概覽UK8S是一項(xiàng)基于Kubernetes的容器管理服務(wù),你可以在UK8S上部署、管理、擴(kuò)展你的容器化應(yīng)用,而無(wú)需關(guān)心Kubernetes集群自身的搭建及維護(hù)等運(yùn)維類(lèi)工作。了解使用UK8S為了讓您更快上手使用,享受UK...

    Tecode 評(píng)論0 收藏0

  • 容器 UK8S】產(chǎn)品簡(jiǎn)介:產(chǎn)品概念、使用須知與名詞解釋

    摘要:產(chǎn)品概念是一項(xiàng)基于的容器管理服務(wù),你可以在上部署管理擴(kuò)展你的容器化應(yīng)用,而無(wú)需關(guān)心集群自身的搭建及維護(hù)等運(yùn)維類(lèi)工作。完全兼容原生的,以私有網(wǎng)絡(luò)為基礎(chǔ),并整合了等云產(chǎn)品。其命名規(guī)范為。產(chǎn)品概念UCloud Container Service for Kubernetes (UK8S)是一項(xiàng)基于Kubernetes的容器管理服務(wù),你可以在UK8S上部署、管理、擴(kuò)展你的容器化應(yīng)用,而無(wú)需關(guān)心Kub...

    Tecode 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

最新活動(dòng)
閱讀需要支付1元查看
<