行业新闻与博客

安全研究人员在详细说明利用关键漏洞的概念验证（PoC）攻击后，敦促 Docker 客户升级到最新版本，这可能导致容器完全逃脱。

在 CVE-2019-14271 漏洞被定格在泊坞版本  19.03.1，但如果不打补丁可以给攻击者完全的 root 执行代码的主机上。

“只要容器已被先前的攻击（例如，通过任何其他漏洞，泄露的机密等）破坏了，或者当用户从不受信任的来源（注册表或其他）运行恶意容器映像时，就可以利用该漏洞。 ”，Palo Alto Networks 高级安全研究员 Yuval Avrahami 解释说。

“如果用户随后执行易受攻击的 cp 命令从受感染的容器中复制文件，则攻击者可以逃脱并完全控制主机和其中的所有其他容器的根。”

在过去的几年中，它被描述为与在各种容器平台（例如 Docker，Podman 和 Kubernetes）中检测到的 copy（cp）命令相关的几个最严重的漏洞之一。

这也是自 2月份发现 runC 漏洞以来的第一个容器突破漏洞。 

Avrahami 敦促 Docker 开发人员通过从不运行不受信任的映像来限制攻击面，并建议在严格不需要 root 的情况下，以非 root 用户身份运行容器。

他补充说： “这进一步提高了他们的安全性，并阻止了攻击者利用容器引擎或内核中可能存在的许多缺陷。”

“对于 CVE-2019-14271，如果您的容器是由非 root 用户运行的，那么您将受到保护。即使攻击者破坏了您的容器，他也无法覆盖容器的 libnss 库，因为它们是 root 拥有的，因此无法利用此漏洞。”

尽管该漏洞已被 Docker 披露并随后在 7月进行了修补，但 Avrahami 警告说它并未引起公众的关注，“这可能是由于 CVE 描述不明确以及缺乏已发布的漏洞利用。”

希望该第一个 PoC 能够吸引 Docker 客户的思想，如果他们尚未打补丁的话。

非常感谢您对亚洲注册的支持与信任！

禁止转载