Red Hat今天早上宣布了一个漏洞——如果用户运行恶意的或修改过的容器,就可以利用这个漏洞。此漏洞暴露的runC(轻量级可移植容器运行时)和Docker中的漏洞允许攻击者逃离容器并访问底层文件系统。这听起来可能很糟糕,但还有更多。
好消息是,如果SELinux是启用的,并且这是Red Hat系统的默认设置,那么这个漏洞就不能被利用。要检查您的红帽系统是否执行SELinux,请使用以下命令之一:
$ /usr/sbin/getenforce强制执行<==
$ sestatus SELinux状态:enabled <== SELinuxfs mount: /sys/fs/ SELinux SELinux根目录:/etc/ SELinux加载策略名称:目标当前模式:从配置文件强制执行模式:强制策略MLS状态:启用策略deny_unknown状态:允许内存保护检查:实际(安全)最大内核策略版本:31
这个漏洞还需要本地访问系统。受影响的红帽系统包括:
- Red Hat OpenShift容器平台3.x
- Red Hat OpenShift在线
- Red Hat OpenShift专用
- 红帽企业Linux 7
脆弱性的状态被评为重要的。要查看这个和其他可能的漏洞安全评级的描述,请访问问题严重程度分类页面。
要查看SELinux安全模式和在它们之间移动的命令,请访问这个SELINUX状态和模式的永久更改。
对客户的指示将不断更新更新。
一篇概述该漏洞及其对操作的影响的博客文章,以及Red Hat对SELinux的工作也可以在这里找到它从Linux开始。
封闭的思想
红帽公司集装箱部主要产品经理Scott McCarty提出了这个重要的提醒:
这个漏洞(CVE-2019-5736)表明容器安全就是Linux安全。为了更好地保护Linux系统,必须采取的相同步骤也需要用于容器主机和映像,最好是通过构建防御层来实现。在这个特殊的例子中,SELinux减轻了转escape,为用户赢得了宝贵的时间来打补丁,并显示了选择容器环境的每一层是多么重要,从Kubernetes与OpenShift的编配到Red Hat Hat Enterprise Linux中的Linux内核。