1. RunC曝出容器逃逸漏洞
近期RunC曝出容器逃逸漏洞,允许恶意人士对主机系统进行root访问,影响范围甚广。
RunC是一套位于Docker、CRI-O、containerd以及Kubernetes等基础设施与引擎之下的底层容器运行时。广泛用于生成及运行容器的CLI工具,当中曝出严重安全漏洞,其可能被用于破坏高权限runC容器内的runC主机二进制文件,这意味着攻击者将能够立足底层主机系统获取root访问权限。
此安全漏洞编号:CVE-2019-5736,由研究人员Adam Iwaniuk与Borys Poplawski向runC项目的维护者们上报。该安全漏洞允许恶意容器(在最低用户交互等级下)覆盖主机runC二进制文件,这意味着攻击者将借此获得在主机上以root层级执行代码的权限。具体来讲,攻击者能够利用一套其可以控制的镜像创建新的容器,或者是向其能够访问的现有容器之内添加docker exec文件。在这类情况下的任意容器当中,该攻击者都将能够通过当前用户交互等级以root权限运行任意命令(无论命令本身是否由攻击者所控制)。
目前面向runC以及LXC的修复补丁都已经正式发布。
红帽公司警告称,用户需要更新“docker”与“runc”软件包。另外,Debian与Ubuntu也在着手发布修复补丁。
Docker v18.06.2和v18.09.2 版本已经顺利修复了这一漏洞。
2. Docker 宣布企业版支持 Windows Server 2019
Docker 宣布在其企业版平台(Docker Enterprise)中支持 Windows Server 2019 长期支持频道(Long Term Servicing Channel,LTSC)和 Server 1809 半年频道(Semi-Annual Channel,SAC)。Windows Server 2019 从之前的 SAC 频道发布到 LTSC 频道后,带来了一系列提升。包括入口路由、虚拟 IP 服务发现和命名管道挂载。
3. Linkerd 2.2 发布,引入自动请求重试,支持自动注入
2月12日,Linkerd 2.2 版本正式发布。这个版本主要引入了自动请求重试和超时,以及完全支持(非实验)的自动注入功能。它添加了一些新的 CLI 命令(包括 logs 和 endpoints),为 Linkerd 的控制平面提供诊断可见性。最后,它带来了两个令人兴奋的实验性功能:加密安全的客户端标识头和 CNI 插件,该插件可以避免在部署时需要的NET_ADMIN 内核功能。
其中,自动重试失败的请求,在应用程序出现部分故障时提高整体成功率。基于 2.1 版本中引入的服务配置文件模型,Linkerd 允许你为每个路由的基础配置此行为。当然,控制何时可以进行重试是安全使用重试的关键组成部分。Linkerd 2.2 允许你标记哪些路由是幂等(isRetryable),限制重试单个请求所花费的最长时间(timeout),以及配置可以重试的总体请求的百分比(retryBudget)。这些参数可以确保重试发生的安全性,并且不会在已经发生故障的系统中加重问题。
自动注入是一个完全支持(非实验)的功能。自动注入功能允许 Kubernetes 集群在部署时自动添加(“注入”)Linkerd 的数据平面代理到应用程序 pods。将代理注入从客户端移植到集群上有助于确保所有 pods 统一地运行代理,无论它们如何部署。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
