近日,國外安全機(jī)構(gòu)Federacy發(fā)布一項(xiàng)公開倉庫中的Docker鏡像漏洞調(diào)查,結(jié)果顯示有24%的Docker鏡像存在多個(gè)已知漏洞,影響最廣泛的是一個(gè)名為SSL Death Alert(死亡警戒)的拒絕服務(wù)漏洞。據(jù)悉該漏洞由中國安全團(tuán)隊(duì)360GearTeam發(fā)現(xiàn),并提交給廠商在2016年10月完成修復(fù),但目前在公開倉庫中仍有很大比例的Docker鏡像沒有進(jìn)行安全更新。
Federacy調(diào)查原文:https://www.federacy.com/docker_image_vulnerabilities
SSL Death Alert是由360GearTeam安全研究員石磊在閱讀OpenSSL源碼時(shí)發(fā)現(xiàn)的,它是基礎(chǔ)開源加密軟件OpenSSL和GnuTLS的漏洞,會(huì)導(dǎo)致基于GnuTLS、OpenSSL和NSS編譯的軟件產(chǎn)生拒絕服務(wù)攻擊,也可以直接遠(yuǎn)程影響到Nginx、Apache等重要Web組件的正常運(yùn)行。由于大部分Docker鏡像包含這些基礎(chǔ)軟件,因此也受到漏洞影響。
發(fā)現(xiàn)漏洞后,360GearTeam第一時(shí)間將SSL Death Alert的技術(shù)細(xì)節(jié)提交給OpenSSL 官方和 RedHat 產(chǎn)品安全團(tuán)隊(duì)。2016年10月,OpenSSL、Debian以及Redhat/CentOS都發(fā)布安全公告(漏洞編號:CVE-2016-8610),并推出軟件更新版本。但是由于部分企業(yè)缺乏安全運(yùn)維能力,此漏洞在官方修復(fù)半年后竟成為Docker鏡像的“大殺器”。
Docker容器是一種輕量級的虛擬化解決方案,可以簡化服務(wù)器部署,隔離系統(tǒng)上的不同服務(wù),整合服務(wù)器資源等,是云計(jì)算的重要基礎(chǔ)組件。鏡像是Docker中的核心技術(shù),用以支撐Docker容器的運(yùn)行。各大軟件發(fā)行商可以提供一個(gè)基礎(chǔ)的Docker鏡像,比如Ubuntu、Debian、RHEL等,類似于一個(gè)基本的發(fā)行版環(huán)境;開發(fā)者或者運(yùn)維人員還可以在基礎(chǔ)鏡像中部署一些其他環(huán)境,比如MySQL、SSL等。
在網(wǎng)絡(luò)世界,大量服務(wù)器端軟件都會(huì)使用OpenSSL,Docker作為云計(jì)算基礎(chǔ),能夠?yàn)槠髽I(yè)提供各種PaSS服務(wù),這些服務(wù)中很多都會(huì)用到OpenSSL。一旦SSL Death Alert漏洞被黑客惡意利用,使用Docker的網(wǎng)站和企業(yè)的服務(wù)器將面臨著被輕易攻擊癱瘓的危險(xiǎn),對企業(yè)造成嚴(yán)重?fù)p失,同時(shí)也會(huì)影響到用戶對各種互聯(lián)網(wǎng)服務(wù)的正常使用。Federacy的Docker鏡像漏洞調(diào)查就是為此敲響了警鐘。
360GearTeam表示,對于SSL Death Alert這類基礎(chǔ)軟件漏洞,企業(yè)的安全運(yùn)維人員應(yīng)全面排查相關(guān)軟件的部署狀況,及時(shí)采取升級版本等安全更新措施,從而徹底消除漏洞風(fēng)險(xiǎn)。
關(guān)于360GearTeam
360GearTeam是360公司旗下一支專注于互聯(lián)網(wǎng)基礎(chǔ)組件安全研究的新銳團(tuán)隊(duì),2016年獲QEMU、Xen、VirtualBox等虛擬化軟件致謝65次,以及OpenSSL、NTP、Firefox等重要開源項(xiàng)目致謝49次,成立不到一年時(shí)間就榮獲了上百次漏洞報(bào)告致謝,達(dá)到世界領(lǐng)先水平。
關(guān)于SSL Death Alert漏洞
在OpenSSL針對SSL/TLS協(xié)議握手過程的實(shí)現(xiàn)中,允許客戶端重復(fù)發(fā)送打包的 "SSL3_RT_ALERT" -> "SSL3_AL_WARNING" 類型明文未定義警告包,且OpenSSL在實(shí)現(xiàn)中遇到未定義警告包時(shí)仍選擇忽略并繼續(xù)處理接下來的通信內(nèi)容(如果有的話)。攻擊者可以容易的利用該缺陷在一個(gè)消息中打包大量未定義類型警告包,使服務(wù)或進(jìn)程陷入無意義的循環(huán),從而導(dǎo)致占用掉服務(wù)或進(jìn)程100%的CPU使用率。同樣的問題也存在于Gnutls軟件中。
漏洞修復(fù)方案
從供應(yīng)商獲得軟件更新,參考以下鏈接:
OpenSSL:https://www.openssl.org/source/
Debian:https://security-tracker.debian.org/tracker/CVE-2016-8610
Redhat/CentOS:https://access.redhat.com/security/cve/CVE-2016-8610
