通联pos机400全国客服热线是什么?
您好,欢迎致电pos机售后客服热线,
如果在您使用机器的时候遇到问题,
不要慌,请立即找下方客服咨询了解。
我司有专业的客服一对一服务,尽快解决您的问题,减少您的损失。
通过对业界容器安全CVE漏洞的深入研究,产品业务场景中运行态的容器安全问题存在于多个薄弱环节,容器逃逸主要分布在应用层、服务层和系统层。
应用层的逃逸,主要体现在特权模式与配置不当,如利用特权模式逃逸、借助Capabilities逃逸。为了方便容器与宿主机进行数据交换,几乎所有主流的解决方案都会提供挂载宿主机目录到容器的功能,由此而来的容器逃逸问题也呈上升趋势,当容器以读写形式挂载宿主机上的敏感文件如docker.sock时,从容器中逃逸出去易如反掌,手段也多种多样。再如攻击者借助容器的CAP_DAC_READ_SEARCH权限,采用著名的Shocker攻击方式,可在容器内逃逸读取到宿主机的shadow文件。
除了应用本身的脆弱性引入的攻击外,服务层集群、容器运行时本身的脆弱性问题也不容忽视。例如攻击者借助K8S的8080、6443未授权访问,可通过容器访问K8S master api进行恶意调用;参与到容器生态中的服务端、客户端程序自身存在的漏洞如runc、Containerd组件漏洞,同样可被攻击者恶意利用,使得容器内的用户获取到宿主机的控制权。
此外,从系统层面来看,Docker直接共享宿主机的内核,所以当宿主机内核存在安全漏洞时会一并影响Docker的安全,导致Docker容器逃逸漏洞。例如著名的脏牛漏洞CVE-2016-5195是Linux内核中的权限提升漏洞,通过它可实现容器逃逸,获得root权限的shell。
容器发展早期,容器内的root等同于宿主机上的root,若容器被攻破或容器本身存在恶意程序时,在容器内就可以获取到宿主机的root权限。Docker 1.10版本,引入User Namespace技术进行用户隔离,可将容器内的root用户映射到宿主机上的非root用户,大大减轻了容器逃逸的风险。容器社区持续在努力将纵深防御、最小权限等理念和原则落地,因此建议尽可能使用最新版Docker。且使用最新版本Docker,已知的CVE漏洞都已修复,如更新Docker版本到19.03.1及更高版本,不再受CVE-2019-14271、CVE-2019-5736等漏洞影响。
留言评论
暂无留言