【安全预警】关于Docker cp命令容器权限逃逸安全漏洞的通知(CVE-2018-15664)
摘要:
尊敬的腾讯云客户,您好!
近日,腾讯云安全中心监测到 Docker 容器被曝存在权限逃逸安全漏洞(漏洞编号:CVE-2018-15664),攻击者可利用该漏洞访问主机文件系统任意文件。
该漏洞仅当用户需要运行来自其他组织或不信任的容器时存在安全风险(详情见下面的"漏洞风险"和"修复建议"描述),通过禁止在节点执行 docker cp 命令与 API,以及禁止将 docker.sock 映射到不信任的容器里面,可以避免该漏洞被利用的风险。
腾讯云会关注社区修复的进展,并在社区修复正式发布以后,立即升级TKE增量节点的docker版本,并给出存量节点的升级指引。
【漏洞详情】
在执行 docker cp 命令或调用对应 API 时,容器内的恶意脚本可以通过 TOCTOU (time-of-check to time-of-use),即撞击检查和运行代码中的间隙,替换符号链接到主机文件系统,可以在容器内拿到宿主机的 root 权限。
当前漏洞触发需要同时满足容器镜像中包含恶意脚本并且调用 docker cp 的 API 两个条件。
【风险等级】
中风险
【漏洞风险】
如果需要在集群中运行来自其他组织或不信任的容器(比如游戏运营商可能需要在自己的TKE集群运行来自多个游戏开发商的容器), 容器中的恶意攻击程序有可能获取节点的文件系统查看和编辑权限。
【影响版本】
所有docker社区版本
【修复建议】
1)如果集群上运行的容器都来自同一个组织,可以信任,则不用担心漏洞的影响。
2)如果需要在集群中运行来自其他组织或不信任的容器, 建议用户不要在节点执行 docker cp 命令与 API, 也不要把 docker.sock 映射到不信任的容器里面,这样可以避免该漏洞被恶意的容器所利用。
目前 Docker 社区暂未发布相应漏洞修复补丁,腾讯云会密切关注社区关于该漏洞的修复进展,在社区正式发布修复补丁后会第一时间升级 TKE 增量节点 docker 版本,并提供存量节点的详细升级指引,请您及时关注官方安全公告。
【漏洞参考】
