RunC容器逃逸漏洞席捲業界,網易雲如何做到實力修復?
近日,業界爆出的runC容器越權逃逸漏洞CVE-2019-5736,席捲了整個基於runC的容器雲領域,大量雲端計算廠商和採用容器雲的企業受到影響。網易雲方面透露,經過技術團隊的緊急應對,網易雲上的容器服務已經被成功修復,網易雲公有云客戶在無感知、且不需要增加運維成本的情況下升級到安全的容器雲環境,沒有任何客戶受到該漏洞的影響。
RunC由Docker公司開發,後來成為開放容器標準(OCI)被廣泛使用,而容器則成為了標準的雲原生基礎架構,不僅是各家雲服務商的標配產品,也是企業賴以開展創新業務實現數字化轉型的核心工具。此次曝出的runC嚴重漏洞,使攻擊者能夠以root身份在宿主機上執行任何命令,這給所有基於容器的創新業務帶來了意外的風險,引起了雲服務商和企業的一致重視。
CVE安全漏洞資訊網站( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736 )顯示,Kubernetes、Docker、containerd或者其他基於runC的容器技術在執行時層存在安全漏洞,攻擊者可以通過特定的惡意容器映象或者exec操作,獲取到宿主機runC執行時的檔案控制代碼並修改掉runC的二進位制檔案,從而獲取到宿主機的root執行許可權。18.09.2以下的Docker版本或者1.0-rc6以下的runC版本均受到影響。
漏洞被披露後,紅帽的容器技術產品經理Scott McCarty警告稱,“利用此漏洞,惡意程式碼可能會肆意蔓延,不僅影響單個容器,還會影響整個容器主機,最終會破壞主機上執行的成百上千個容器。”可能會造成企業IT的世界末日。
網易雲也基於OCI規範的技術提供Serverless公有云容器服務,因而也被該漏洞波及。漏洞被曝出後,runC的維護者、SUSE高階軟體工程師Aleksa Saraipush已經在Github提交程式碼修復了這個漏洞: https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b 。
網易雲技術團隊則迅速完成分析和POC測試,並以最高優先順序處理該漏洞,緊急上線了漏洞修復方案,最終完全消除了該漏洞可能產生的影響,確保了公有云服務的安全性。
McCarty 表示,這不是第一個主要的容器執行時安全漏洞,也不會是最後一個。網易雲工程師認為,容器和微服務在數字經濟中的魅力已經彰顯,企業不能因噎廢食,放棄技術改造,但也需要及時升級,針對安全漏洞打好補丁,或者選擇實力強勁、服務專業的雲端計算技術服務商,為自己的數字化轉型任務打造安全可信的技術平臺。
網易雲旗下的輕舟微服務是圍繞應用和微服務打造的一站式 PaaS 平臺,幫助使用者快速實現易接入、易運維的微服務解決方案,點選檢視詳情。