摘要:中國(guó)論壇提案征集月日截止論壇讓用戶開發(fā)人員從業(yè)人員匯聚一堂����,面對(duì)面進(jìn)行交流合作。贊助方案出爐多元化獎(jiǎng)學(xué)金現(xiàn)正接受申請(qǐng)即將首次合體落地中國(guó)
2月11日早上有宣布關(guān)于runc中的容器逃逸漏洞��。我們希望為Kubernetes用戶提供一些指導(dǎo),以確保每個(gè)人都安全�����。
Runc是什么����?
簡(jiǎn)單來(lái)說(shuō),runc是一個(gè)低層工具��,它負(fù)責(zé)大量生成Linux容器�。Docker、Containerd和CRI-O等其他工具位于runc之上���,用于處理數(shù)據(jù)格式化和序列化等問題����,但runc是所有這些系統(tǒng)的核心��。
Kubernetes位于這些工具之上��,因此雖然Kubernetes本身的任何部分都不容易受到攻擊�����,大多數(shù)Kubernetes安裝都使用了runc。
這個(gè)漏洞是關(guān)于�?
雖然完整的細(xì)節(jié)仍然被禁止以提供人們時(shí)間補(bǔ)丁,但粗略的版本是:當(dāng)在容器內(nèi)以root(UID 0)運(yùn)行進(jìn)程時(shí)����,該進(jìn)程可以利用runc中的錯(cuò)誤來(lái)獲取運(yùn)行容器的主機(jī)的root權(quán)限。然后�����,這允許他們無(wú)限制地訪問服務(wù)器以及該服務(wù)器上的任何其他容器����。
如果容器內(nèi)的進(jìn)程是可信任的(是你知道的東西而不是敵對(duì)的)或者沒有以UID 0運(yùn)行,則不受該漏洞影響�。如果已應(yīng)用適當(dāng)?shù)恼撸琒ELinux也可以阻止它��。RedHat Enterprise Linux和CentOS都在其軟件包中包含適當(dāng)?shù)腟ELinux權(quán)限����,因此如果啟用SELinux��,則應(yīng)該不受影響�����。
最常見的風(fēng)險(xiǎn)來(lái)源是攻擊者-控制器(attacker-controller)容器鏡像,例如來(lái)自公共存儲(chǔ)庫(kù)的未經(jīng)審查的鏡像��。
我該怎么辦����?
與所有安全問題一樣,兩個(gè)主要選項(xiàng)是緩解漏洞���,或?qū)unc版本升級(jí)到包含此修補(bǔ)程序的版本�。
由于漏洞需要容器內(nèi)的UID 0����,因此直接緩解是確保所有容器都以非0用戶身份運(yùn)行。這可以在容器鏡像中設(shè)置���,也可以通過pod規(guī)范設(shè)置:
apiVersion: v1
kind: Pod
metadata:
name: run-as-uid-1000
spec:
securityContext:
runAsUser: 1000
# ...
這也可以使用PodSecurityPolicy全局實(shí)施:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: non-root
spec:
privileged: false
allowPrivilegeEscalation: false
runAsUser:
# Require the container to run without root privileges.
rule: "MustRunAsNonRoot"
考慮到在容器內(nèi)作為UID 0運(yùn)行的整體風(fēng)險(xiǎn)�����,強(qiáng)烈建議設(shè)置這樣的政策�����。
另一個(gè)潛緩解措施是確保所有容器鏡像都經(jīng)過審查和可信任���。這可以通過自己構(gòu)建所有鏡像���,或者通過審查鏡像的內(nèi)容然后固定到鏡像版本哈希來(lái)實(shí)現(xiàn)(image:external/someimage@sha256:7832659873hacdef)。
升級(jí)runc通?��?梢酝ㄟ^升級(jí)你的發(fā)行版的軟件包runc�,或通過升級(jí)你的操作系統(tǒng)鏡像(如果使用不可變鏡像)來(lái)完成����。這是各種發(fā)行版和平臺(tái)的已知安全版本列表:
Ubuntu - runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1
Debian - runc 0.1.1+dfsg1-2
RedHat Enterprise Linux - docker 1.13.1-91.git07f3374.el7 (if SELinux is disabled)
Amazon Linux - docker 18.06.1ce-7.25.amzn1.x86_64
CoreOS - 2051.0.0
Kops Debian - in progress
Docker - 18.09.2
一些平臺(tái)還發(fā)布了更具體的說(shuō)明:
Google Container Engine (GKE)
Google發(fā)布了一份包含更多詳細(xì)信息的安全公告,但簡(jiǎn)而言之�����,如果你使用默認(rèn)的GKE節(jié)點(diǎn)鏡像��,那么你就是安全的���。如果你使用的是Ubuntu節(jié)點(diǎn)鏡像��,則需要緩解或使用已知安全版本的runc來(lái)升級(jí)鏡像����。
Amazon Elastic Container Service for Kubernetes (EKS)
亞馬遜還發(fā)布了一份包含更詳細(xì)信息的安全公告����。所有EKS用戶都應(yīng)該緩解問題或升級(jí)到新節(jié)點(diǎn)鏡像。
Docker
我們沒有具體確認(rèn)Docker for Mac和Docker for Windows是易受攻擊的�����,但似乎很可能�。Docker發(fā)布了18.09.2版本的修復(fù)程序,建議你升級(jí)到它���。這也適用于使用Docker的其他部署系統(tǒng)�����。
如果您無(wú)法升級(jí)Docker���,Rancher團(tuán)隊(duì)已在github.com/rancher/runc-cve上為許多舊版本提供了修復(fù)的后端。
獲取更多信息
如果你對(duì)此漏洞如何影響Kubernetes有任何疑問����,請(qǐng)通過discuss.kubernetes.io加入我們的討論��。
如果你想與runc團(tuán)隊(duì)取得聯(lián)系���,你可以通過Google網(wǎng)上論壇或Freenode IRC上的#opencontainers與他們聯(lián)系。
KubeCon + CloudNativeCon中國(guó)論壇提案征集(CFP)2月22日截止
KubeCon + CloudNativeCon 論壇讓用戶����、開發(fā)人員、從業(yè)人員匯聚一堂����,面對(duì)面進(jìn)行交流合作。與會(huì)人員有 Kubernetes����、Prometheus 及其他云原生計(jì)算基金會(huì) (CNCF) 主辦項(xiàng)目的領(lǐng)導(dǎo),和我們一同探討云原生生態(tài)系統(tǒng)發(fā)展方向��。
中國(guó)開源峰會(huì)提案征集(CFP)2月22日截止
在中國(guó)開源峰會(huì)上��,與會(huì)者將共同合作及共享信息�����,了解最新和最有趣的開源技術(shù),包括Linux���、IoT��、區(qū)塊鏈、AI����、網(wǎng)絡(luò)等;并獲得如何在開源社區(qū)中導(dǎo)向和引領(lǐng)的信息���。
大會(huì)日期:
提案征集截止日期:太平洋標(biāo)準(zhǔn)時(shí)間 2 月 22 日����,星期五����,晚上 11:59
提案征集通知日期:2019 年 4 月 8 日
會(huì)議日程通告日期:2019 年 4 月 10 日
會(huì)議活動(dòng)舉辦日期:2019 年 6 月 24 至 26 日
提醒:這是一場(chǎng)社區(qū)會(huì)議。因此��,讓我們盡量避開公然推銷產(chǎn)品和/或供應(yīng)商銷售宣傳���。
KubeCon + CloudNativeCon + Open Source Summit贊助方案出爐
KubeCon + CloudNativeCon + Open Source Summit多元化獎(jiǎng)學(xué)金現(xiàn)正接受申請(qǐng)
KubeCon + CloudNativeCon + Open Source Summit即將首次合體落地中國(guó)
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/32873.html
