毫不夸張的說祭隔，所有的 Docker 版本都存在同一個漏洞货岭，這個漏洞可以讓攻擊者獲得主機服務器上所有路徑的讀寫訪問權限。據(jù)了解疾渴，之所以會出現(xiàn)該漏洞千贯，主要是因為 Docker 軟件處理某些符號鏈接的方式，而這些符號鏈接中往往會包含有到其他目錄或文件的路徑的文件搞坝。

1.事件回溯

研究員 Aleksa Sarai 發(fā)現(xiàn)搔谴，在某些情況下，攻擊者可以在路徑解析時間和操作時間之間的短時間窗口將自己的符號鏈接插入到路徑中桩撮。這是 TOCTOU 問題的一個變體己沛，特別是“docker cp”命令慌核，它可以將文件從主機復制到容器，或從容器復制到主機申尼。

Sarai 表示，“這次攻擊的基本前提是 FollowSymlinkInScope 遭受了相當根本的 TOCTOU 攻擊垫桂。FollowSymlinkInScope 的目的是獲取給定路徑并安全解析师幕，就好像進程位于容器內(nèi)部一樣。完整路徑被解析之后诬滩，路徑會被傳遞霹粥，同時會進行一些操作（例如，在’docker cp’的情況下疼鸟，它會在創(chuàng)建流式傳輸?shù)娇蛻舳说拇鏅n時打開）后控。”

“如果攻擊者在解析之后空镜、操作之前浩淘，向路徑添加符號鏈接組件，那么主機上的符號鏈接路徑組件就會被解析為 root吴攒。如果正好是在‘docker cp’的情況下张抄，攻擊者就可以對主機上的所有路徑進行讀寫訪問⊥菡”

研究人員認為針對 Docker 的這種攻擊可能會持續(xù)幾年時間署惯。Sarai 針對這一漏洞開發(fā)了利用代碼，并表示：潛在的攻擊場景可能來自云平臺镣隶，“最可能受到影響的是托管云极谊，因為它允許配置文件復制到正在運行的容器中，也允許從容器中讀取文件安岂∏岵”

雖然這個漏洞只有針對“docker cp”的攻擊代碼，但它是最容易被攻擊的端點嗜闻。另外還有一個值得注意的點蜕依，如果選擇了一條路徑，擴展了其中的所有符號鏈接琉雳，并假設該路徑是安全的样眠，那么這是一種非常危險的行為。

2.如何修復

“這個 Docker 漏洞雖然看起來很嚴重翠肘，但對大多數(shù)企業(yè)來說未必是緊急情況檐束。” Capsule8 產(chǎn)品開發(fā)副總裁 Kelly Shortridge 表示：“Docker 的這個 TOCTOU 漏洞允許攻擊者不僅在容器內(nèi)束倍，而且在主機上違反數(shù)據(jù)完整性和機密性被丧。除了禁止在任何正在運行的容器上使用 docker cp 實用程序或使用攻擊保護產(chǎn)品之外盟戏，利用 docker cp 的 Docker 用戶很容易受到攻擊，但僅限于動機足夠強的攻擊者甥桂，他們有意愿與 docker cp 競爭柿究。”

據(jù)了解黄选，Sarai 已經(jīng)提交了針對該漏洞的修復建議蝇摸，其中包括在使用文件系統(tǒng)時暫停容器。

這個問題最完整的解決方案是修改 chrootarchive办陷，這樣所有的存檔操作都將以根目錄作為容器 rootfs 進行 (而不是父目錄貌夕，因為父目錄是由攻擊者控制的，所以導致了這個漏洞)民镜。不過啡专，要對 Docker 核心部分做更改幾乎是不可能完成的事情。

退而求其次制圈，我們選擇了在使用文件系統(tǒng)時暫停容器们童。這種方法能夠阻止最基本的攻擊，但是在某些攻擊場景下無法發(fā)揮作用离唐，例如 shared volume mounts病附。

不過，截止到目前還沒有關于 Docker 官方何時修復漏洞的消息亥鬓。

3.網(wǎng)友支招

Docker 的這個漏洞公布之后完沪，引發(fā)了網(wǎng)友的廣泛討論，大家各抒己見嵌戈，紛紛為解決該漏洞獻計獻策覆积。

有網(wǎng)友建議：“至少在某些情況下，符號鏈接攻擊是可以通過驗證路徑的布爾函數(shù)來避免的熟呛。如果路徑不受符號鏈接攻擊宽档，返回 true，否則返回 false庵朝。不受符號鏈接攻擊意味著遍歷路徑众旗，檢查每個目錄的權限攒庵，確保其不允許任何人創(chuàng)建符號鏈接昂秃。如果路徑是相對的父阻，則將當前工作目錄作為前綴，以便進行檢查侄旬。如果路徑包含符號鏈接肺蔚，那么我們必須驗證符號鏈接目標的實際父目錄，且不允許替換該目標儡羔。其實宣羊，我們只要把路徑規(guī)范化就可以了璧诵，但是這種做法是不可取的，因為軟件必須保證已給出的路徑不變仇冯，而符號鏈接抽象是屬于用戶的之宿，應該被尊重≡拚恚”

也有網(wǎng)友建議：“在 syscall 系列中使用 open + O_PATH + *澈缺，它可以用來獲得一個已解析目錄的句柄，用戶可以操作該目錄而不會對該句柄上的不同操作進行重新遍歷炕婶。或者也可以臨時加入容器的 mount 命名空間以獲取源句柄莱预，不過這種方法很難真正實現(xiàn)柠掂，因為 goroutines 無法很好地處理每個線程的操作∫谰冢”

對于 Docker 的這個漏洞涯贞，您有何解決方法？歡迎在下方留言討論危喉！

參考鏈接：

https://duo.com/decipher/docker-bug-allows-root-access-to-host-file-system
https://news.ycombinator.com/item?id=20031403