摘要:
容器逃逸漏洞是云原生安全领域的核心威胁,攻击者通过利用这些漏洞可突破容器隔离环境,获取宿主机或集群控制权。 检测脚本 一、容器运行时自身漏洞 此类漏洞源于容器引擎或运行时组件的设计缺陷。 CVE-2019-5736(runc逃逸) 影响版本:Docker ≤18.09.2,runc ≤1.0-rc6 阅读全文
posted @ 2026-01-05 21:41
Rodericklog
阅读(7)
评论(0)
推荐(0)
摘要:
影响版本 危险的配置错误。只要满足以下条件,无论 Docker 版本新旧,均存在风险 漏洞原理 若将宿主机的/proc目录挂载到容器内,攻击者可利用其core_pattern等机制实现逃逸 环境搭建 sudo docker run -it -v /proc/sys/kernel/core_patte 阅读全文
posted @ 2026-01-05 21:33
Rodericklog
阅读(2)
评论(0)
推荐(0)
摘要:
影响版本 危险的配置错误。只要满足以下条件,无论 Docker 版本新旧,均存在风险 挂载了 Docker Socket: 启动容器时使用了 -v /var/run/docker.sock:/var/run/docker.sock 这样的参数 容器内权限足够: 攻击者在容器内获得的用户权限(通常是 阅读全文
posted @ 2026-01-05 21:31
Rodericklog
阅读(2)
评论(0)
推荐(0)
摘要:
影响版本 危险的配置错误。只要满足以下条件,无论 Docker 版本新旧,均存在风险 漏洞原理 启用--privileged标志的容器拥有宿主机所有权限,可直接操作宿主机设备(如挂载/dev/sda5)或加载内核模块突破隔离。 环境搭建 docker run --privileged -it ubu 阅读全文
posted @ 2026-01-05 21:30
Rodericklog
阅读(1)
评论(0)
推荐(0)
摘要:
影响版本 危险的配置错误。只要满足以下条件,无论 Docker 版本新旧,均存在风险 漏洞原理 Docker守护进程若暴露2375端口且无认证,攻击者可远程管理Docker。 环境搭建 在 Docker 守护进程的配置中开放 TCP 2375 端口(此端口通常用于非加密的 Docker Remote 阅读全文
posted @ 2026-01-05 21:29
Rodericklog
阅读(21)
评论(0)
推荐(0)
摘要:
影响版本 Docker Desktop 4.44.3 版本之前的所有 Windows 和 macOS 版本 漏洞原理 Docker Desktop 默认将 Docker Engine API 暴露在容器子网192.168.65.7:2375,且未设置认证或 IP 白名单。恶意容器无需挂载 Docke 阅读全文
posted @ 2026-01-05 21:18
Rodericklog
阅读(2)
评论(0)
推荐(0)
摘要:
漏洞原理 该漏洞源于 Linux 内核中copy_page_to_iter_pipe()函数对pipe buffer的flags字段缺乏正确的初始化。当使用管道进行write和read后,可让目标管道的每个pipe buffer都带上PIPE_BUF_FLAG_CAN_MERGE标志。之后使用spl 阅读全文
posted @ 2026-01-05 21:17
Rodericklog
阅读(4)
评论(0)
推荐(0)
摘要:
影响版本 2.6.24-rc1 至 5.17-rc2 漏洞原理 cgroup 是 Linux 内核的一个功能,用于限制、控制与分离一个进程组群的资源。cgroup v1 有一个 release_agent 文件,允许管理员配置一个 “发布代理” 程序,当 cgroup 中的最后一个进程退出时,内核会 阅读全文
posted @ 2026-01-05 21:17
Rodericklog
阅读(5)
评论(0)
推荐(0)
摘要:
影响版本 Linux内核 2.6.19-rc1~5.12-rc8 Alibaba Cloud Linux 2/3、CentOS 7/8、RedHat 7/8、Ubuntu 14/16/18/20、Debian 8/9/10、SUSE Linux Enterprise Server 12/15、Ope 阅读全文
posted @ 2026-01-05 21:16
Rodericklog
阅读(8)
评论(0)
推荐(0)
摘要:
影响版本 containerd <1.3.9 或 <1.4.3 漏洞原理 containerd 是 Docker 等容器平台的核心运行时组件,其架构中包含containerd-shim进程,负责中间层管理(如进程监控、信号转发、IO 重定向等),隔离 containerd 主进程与容器进程。cont 阅读全文
posted @ 2026-01-05 21:13
Rodericklog
阅读(0)
评论(0)
推荐(0)
摘要:
影响版本 runc 1.0.0-rc6 及更早版本; Docker 18.09.2 之前的版本; Kubernetes、LXC、Apache Mesos 等依赖 runc 的容器平台。 漏洞原理 CVE-2019-5736 的核心原理是runc 进程在启动容器时未正确隔离自身文件描述符,导致容器内恶 阅读全文
posted @ 2026-01-05 21:08
Rodericklog
阅读(4)
评论(0)
推荐(0)
摘要:
影响版本 内核版本在 2.6.22 至 4.8 CentOS:CentOS 5.x、6.x、7.x 的 32 位和 64 位版本。 Debian:Debian 6.x 32 位、Debian 7.x 的 32 位和 64 位版本、Debian 8.x 的 32 位和 64 位版本。 Ubuntu:U 阅读全文
posted @ 2026-01-05 21:06
Rodericklog
阅读(1)
评论(0)
推荐(0)
摘要:
容器的基本架构 Docker客户端:Client Docker服务器:Docker daemon Docker镜像:Image Docker仓库:Registry Docker容器:Container 通过docker我们可以方便地在Host上构建和运行容器。最常用的Docker客户端是docker 阅读全文
posted @ 2026-01-05 20:55
Rodericklog
阅读(0)
评论(0)
推荐(0)
摘要:
容器生态系统 容器生态系统包含核心技术、平台技术和支持技术 容器核心技术 容器核心技术是指能够让Container在host上运行起来的那些技术。 容器规范 容器runtime 容器管理工具 容器定义工具 Registries 容器OS 容器规范 容器不光是Docker,还有其他容器,比如CoreO 阅读全文
posted @ 2026-01-05 20:50
Rodericklog
阅读(1)
评论(0)
推荐(0)
浙公网安备 33010602011771号