所在位置:
首頁 >
營銷資訊 >
建站知識 > Docker鏡像漏洞調(diào)查:SSL Death Alert排名“榜首”
Docker鏡像漏洞調(diào)查:SSL Death Alert排名“榜首”
時間:2022-08-20 05:57:01 | 來源:建站知識
時間:2022-08-20 05:57:01 來源:建站知識
近日��,國外安全機(jī)構(gòu)Federacy發(fā)布一項(xiàng)公開倉庫中的Docker鏡像漏洞調(diào)查,結(jié)果顯示有24%的Docker鏡像存在多個已知漏洞�����,影響最廣泛的是一個名為SSL Death Alert(死亡警戒)的拒絕服務(wù)漏洞�����。據(jù)悉該漏洞由中國安全團(tuán)隊(duì)360GearTeam發(fā)現(xiàn)����,并提交給廠商在2016年10月完成修復(fù)���,但目前在公開倉庫中仍有很大比例的Docker鏡像沒有進(jìn)行安全更新�。
Federacy調(diào)查原文:
SSL Death Alert是由360GearTeam安全研究員石磊在閱讀OpenSSL源碼時發(fā)現(xiàn)的���,它是基礎(chǔ)開源加密軟件OpenSSL和GnuTLS的漏洞�����,會導(dǎo)致基于GnuTLS�、OpenSSL和NSS編譯的軟件產(chǎn)生拒絕服務(wù)攻擊,也可以直接遠(yuǎn)程影響到Nginx��、Apache等重要Web組件的正常運(yùn)行�����。由于大部分Docker鏡像包含這些基礎(chǔ)軟件���,因此也受到漏洞影響�����。
發(fā)現(xiàn)漏洞后�,360GearTeam第一時間將SSL Death Alert的技術(shù)細(xì)節(jié)提交給OpenSSL 官方和 RedHat 產(chǎn)品安全團(tuán)隊(duì)�。2016年10月,OpenSSL����、Debian以及Redhat/CentOS都發(fā)布安全公告(漏洞編號:CVE-2016-8610),并推出軟件更新版本��。但是由于部分企業(yè)缺乏安全運(yùn)維能力,此漏洞在官方修復(fù)半年后竟成為Docker鏡像的“大殺器”�����。
Docker容器是一種輕量級的虛擬化解決方案���,可以簡化服務(wù)器部署�����,隔離系統(tǒng)上的不同服務(wù)����,整合服務(wù)器資源等���,是云計算的重要基礎(chǔ)組件。鏡像是Docker中的核心技術(shù)�����,用以支撐Docker容器的運(yùn)行����。各大軟件發(fā)行商可以提供一個基礎(chǔ)的Docker鏡像�,比如Ubuntu��、Debian��、RHEL等����,類似于一個基本的發(fā)行版環(huán)境;開發(fā)者或者運(yùn)維人員還可以在基礎(chǔ)鏡像中部署一些其他環(huán)境,比如MySQL、SSL等。
在網(wǎng)絡(luò)世界��,大量服務(wù)器端軟件都會使用OpenSSL�����,Docker作為云計算基礎(chǔ)�,能夠?yàn)槠髽I(yè)提供各種PaSS服務(wù)�,這些服務(wù)中很多都會用到OpenSSL。一旦SSL Death Alert漏洞被黑客惡意利用��,使用Docker的網(wǎng)站和企業(yè)的服務(wù)器將面臨著被輕易攻擊癱瘓的危險����,對企業(yè)造成嚴(yán)重?fù)p失,同時也會影響到用戶對各種互聯(lián)網(wǎng)服務(wù)的正常使用����。Federacy的Docker鏡像漏洞調(diào)查就是為此敲響了警鐘���。
360GearTeam表示,對于SSL Death Alert這類基礎(chǔ)軟件漏洞�,企業(yè)的安全運(yùn)維人員應(yīng)全面排查相關(guān)軟件的部署狀況,及時采取升級版本等安全更新措施��,從而徹底消除漏洞風(fēng)險���。
關(guān)于360GearTeam
360GearTeam是360公司旗下一支專注于互聯(lián)網(wǎng)基礎(chǔ)組件安全研究的新銳團(tuán)隊(duì)�,2016年獲QEMU���、Xen�����、VirtualBox等虛擬化軟件致謝65次,以及OpenSSL�����、NTP�����、Firefox等重要開源項(xiàng)目致謝49次,成立不到一年時間就榮獲了上百次漏洞報告致謝��,達(dá)到世界領(lǐng)先水平�����。
關(guān)于SSL Death Alert漏洞
在OpenSSL針對SSL/TLS協(xié)議握手過程的實(shí)現(xiàn)中�,允許客戶端重復(fù)發(fā)送打包的 "SSL3_RT_ALERT" -> "SSL3_AL_WARNING" 類型明文未定義警告包,且OpenSSL在實(shí)現(xiàn)中遇到未定義警告包時仍選擇忽略并繼續(xù)處理接下來的通信內(nèi)容(如果有的話)�����。攻擊者可以容易的利用該缺陷在一個消息中打包大量未定義類型警告包����,使服務(wù)或進(jìn)程陷入無意義的循環(huán),從而導(dǎo)致占用掉服務(wù)或進(jìn)程100%的CPU使用率��。同樣的問題也存在于Gnutls軟件中����。
漏洞修復(fù)方案
從供應(yīng)商獲得軟件更新,參考以下鏈接:
OpenSSL:
Debian:
Redhat/CentOS:
在線咨詢
