近日,国外安全机构Federacy发布一项公开仓库中的Docker镜像漏洞调查,结果显示有24%的Docker镜像存在多个已知漏洞,影响最广泛的是一个名为SSL Death Alert(死亡警戒)的拒绝服务漏洞。据悉该漏洞由中国安全团队360GearTeam发现,并提交给厂商在2016年10月完成修复,但目前在公开仓库中仍有很大比例的Docker镜像没有进行安全更新。
Federacy调查原文:https://www.federacy.com/docker_image_vulnerabilities
SSL Death Alert是由360GearTeam安全研究员石磊在阅读OpenSSL源码时发现的,它是基础开源加密软件OpenSSL和GnuTLS的漏洞,会导致基于GnuTLS、OpenSSL和NSS编译的软件产生拒绝服务攻击,也可以直接远程影响到Nginx、Apache等重要Web组件的正常运行。由于大部分Docker镜像包含这些基础软件,因此也受到漏洞影响。
发现漏洞后,360GearTeam第一时间将SSL Death Alert的技术细节提交给OpenSSL 官方和 RedHat 产品安全团队。2016年10月,OpenSSL、Debian以及Redhat/CentOS都发布安全公告(漏洞编号:CVE-2016-8610),并推出软件更新版本。但是由于部分企业缺乏安全运维能力,此漏洞在官方修复半年后竟成为Docker镜像的“大杀器”。
Docker容器是一种轻量级的虚拟化解决方案,可以简化服务器部署,隔离系统上的不同服务,整合服务器资源等,是云计算的重要基础组件。镜像是Docker中的核心技术,用以支撑Docker容器的运行。各大软件发行商可以提供一个基础的Docker镜像,比如Ubuntu、Debian、RHEL等,类似于一个基本的发行版环境;开发者或者运维人员还可以在基础镜像中部署一些其他环境,比如MySQL、SSL等。
在网络世界,大量服务器端软件都会使用OpenSSL,Docker作为云计算基础,能够为企业提供各种PaSS服务,这些服务中很多都会用到OpenSSL。一旦SSL 手表不仅仅是用来看时间的了,手表还代表着一种品位!虽然手机也可以看时间,但手机是手机,它只是工具。而手表却可以是饰品,甚至是一种文化,戴表,是永远的经典!手表可以彰显品味和身份的。什么样的性格选什么样的表,因此,我们也可以从佩表去窥探一下他们的内心世界。那么戴手表的意义是什么,戴手表的好处有哪些?下面腕表之家就来为大家介绍。 Death Alert漏洞被黑客恶意利用,使用Docker的网站和企业的服务器将面临着被轻易攻击瘫痪的危险,对企业造成严重损失,同时也会影响到用户对各种互联网服务的正常使用。Federacy的Docker镜像漏洞调查就是为此敲响了警钟。
360GearTeam表示,对于SSL Death Alert这类基础软件漏洞,企业的安全运维人员应全面排查相关软件的部署状况,及时采取升级版本等安全更新措施,从而彻底消除漏洞风险。
关于360GearTeam
360GearTeam是360公司旗下一支专注于互联网基础组件安全研究的新锐团队,2016年获QEMU、Xen、VirtualBox等虚拟化软件致谢65次,以及OpenSSL、NTP、Firefox等重要开源项目致谢49次,成立不到一年时间就荣获了上百次漏洞报告致谢,达到世界领先水平。
关于SSL Death Alert漏洞
在OpenSSL针对SSL/TLS协议握手过程的实现中,允许客户端重复发送打包的 “SSL3_RT_ALERT” -> “SSL3_AL_WARNING” 类型明文未定义警告包,且OpenSSL在实现中遇到未定义警告包时仍选择忽略并继续处理接下来的通信内容(如果有的话)。攻击者可以容易的利用该缺陷在一个消息中打包大量未定义类型警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率。同样的问题也存在于Gnutls软件中。
漏洞修复方案
从供应商获得软件更新,参考以下链接:
OpenSSL:https://www.openssl.org/source/
Debian:https://security-tracker.debian.org/tracker/CVE-2016-8610
Redhat/CentOS:https://access.redhat.com/security/cve/CVE-2016-8610
1336年,第一座公共时钟被安装于米兰一教堂内,在接下来的半个世纪里,时钟传至欧洲各国,法国、德国、意大利的教堂纷纷建起钟塔。不久,发条技术发明了,时钟的体积大为缩小。1510年,德国的锁匠首次制出了怀表。当年,钟表的制作似乎仅限于锁匠的副业,直到后来,对钟表精度的要求越来越高,钟表技艺也日益复杂,才出现了专业的钟表匠。1806年,拿破仑之妻‐皇后约琵芬为王妃特制的一块手表,是目前知道的关于手表的最早记录。这是一块注重装饰、被制成手镯状的手表。当时,男人世界里凤行的是作为身分、地位象征的怀表,手表则被视作是女性的饰物。
原创文章,作者:leping,如若转载,请注明出处:https://www.zhjiashun.com/zjsb-76961.html
