网易云

社区管理员

12篇博客

RunC容器逃逸漏洞席卷业界,网易云如何做到实力修复?

网易云2019-02-19 15:12

近日,业界爆出的runC容器越权逃逸漏洞CVE-2019-5736,席卷了整个基于runC的容器云领域,大量云计算厂商和采用容器云的企业受到影响。网易云方面透露,经过技术团队的紧急应对,网易云上的容器服务已经被成功修复,网易云公有云客户在无感知、且不需要增加运维成本的情况下升级到安全的容器云环境,没有任何客户受到该漏洞的影响。


RunC由Docker公司开发,后来成为开放容器标准(OCI)被广泛使用,而容器则成为了标准的云原生基础架构,不仅是各家云服务商的标配产品,也是企业赖以开展创新业务实现数字化转型的核心工具。此次曝出的runC严重漏洞,使攻击者能够以root身份在宿主机上执行任何命令,这给所有基于容器的创新业务带来了意外的风险,引起了云服务商和企业的一致重视。




CVE安全漏洞信息网站(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736)显示,Kubernetes、Docker、containerd或者其他基于runC的容器技术在运行时层存在安全漏洞,攻击者可以通过特定的恶意容器镜像或者exec操作,获取到宿主机runC运行时的文件句柄并修改掉runC的二进制文件,从而获取到宿主机的root执行权限。18.09.2以下的Docker版本或者1.0-rc6以下的runC版本均受到影响。


漏洞被披露后,红帽的容器技术产品经理Scott McCarty警告称,“利用此漏洞,恶意代码可能会肆意蔓延,不仅影响单个容器,还会影响整个容器主机,最终会破坏主机上运行的成百上千个容器。”可能会造成企业IT的世界末日。


网易云也基于OCI规范的技术提供Serverless公有云容器服务,因而也被该漏洞波及。漏洞被曝出后,runC的维护者、SUSE高级软件工程师Aleksa Saraipush已经在Github提交代码修复了这个漏洞:https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b


网易云技术团队则迅速完成分析和POC测试,并以最高优先级处理该漏洞,紧急上线了漏洞修复方案,最终完全消除了该漏洞可能产生的影响,确保了公有云服务的安全性。


McCarty 表示,这不是第一个主要的容器运行时安全漏洞,也不会是最后一个。网易云工程师认为,容器和微服务在数字经济中的魅力已经彰显,企业不能因噎废食,放弃技术改造,但也需要及时升级,针对安全漏洞打好补丁,或者选择实力强劲、服务专业的云计算技术服务商,为自己的数字化转型任务打造安全可信的技术平台。


网易云旗下的轻舟微服务是围绕应用和微服务打造的一站式 PaaS 平台,帮助用户快速实现易接入、易运维的微服务解决方案,点击查看详情。