Docker鏡像漏洞調查：SSL Death Alert排名「榜首」

近日，國外安全機構Federacy發布一項公開倉庫中的Docker鏡像漏洞調查，結果顯示有24%的Docker鏡像存在多個已知漏洞，影響最廣泛的是一個名為SSL Death Alert(死亡警戒)的拒絕服務漏洞。據悉該漏洞由中國安全團隊360GearTeam發現，並提交給廠商在2016年10月完成修復，但目前在公開倉庫中仍有很大比例的Docker鏡像沒有進行安全更新。

Federacy調查原文：https://www.federacy.com/docker_image_vulnerabilities

SSL Death Alert是由360GearTeam安全研究員石磊在閱讀OpenSSL源碼時發現的，它是基礎開源加密軟體OpenSSL和GnuTLS的漏洞，會導致基於GnuTLS、OpenSSL和NSS編譯的軟體產生拒絕服務攻擊，也可以直接遠程影響到Nginx、Apache等重要Web組件的正常運行。由於大部分Docker鏡像包含這些基礎軟體，因此也受到漏洞影響。

發現漏洞後，360GearTeam第一時間將SSL Death Alert的技術細節提交給OpenSSL 官方和 RedHat 產品安全團隊。2016年10月，OpenSSL、Debian以及Redhat/CentOS都發布安全公告(漏洞編號：CVE-2016-8610)，並推出軟體更新版本。但是由於部分企業缺乏安全運維能力，此漏洞在官方修復半年後竟成為Docker鏡像的「大殺器」。

Docker容器是一種輕量級的虛擬化解決方案，可以簡化伺服器部署，隔離系統上的不同服務，整合伺服器資源等，是雲計算的重要基礎組件。鏡像是Docker中的核心技術，用以支撐Docker容器的運行。各大軟體發行商可以提供一個基礎的Docker鏡像，比如Ubuntu、Debian、RHEL等，類似於一個基本的發行版環境;開發者或者運維人員還可以在基礎鏡像中部署一些其他環境，比如MySQL、SSL等。

在網路世界，大量伺服器端軟體都會使用OpenSSL，Docker作為雲計算基礎，能夠為企業提供各種PaSS服務，這些服務中很多都會用到OpenSSL。一旦SSL Death Alert漏洞被黑客惡意利用，使用Docker的網站和企業的伺服器將面臨著被輕易攻擊癱瘓的危險，對企業造成嚴重損失，同時也會影響到用戶對各種互聯網服務的正常使用。Federacy的Docker鏡像漏洞調查就是為此敲響了警鐘。

360GearTeam表示，對於SSL Death Alert這類基礎軟體漏洞，企業的安全運維人員應全面排查相關軟體的部署狀況，及時採取升級版本等安全更新措施，從而徹底消除漏洞風險。

關於360GearTeam

360GearTeam是360公司旗下一支專註於互聯網基礎組件安全研究的新銳團隊，2016年獲QEMU、Xen、VirtualBox等虛擬化軟體致謝65次，以及OpenSSL、NTP、Firefox等重要開源項目致謝49次，成立不到一年時間就榮獲了上百次漏洞報告致謝，達到世界領先水平。

關於SSL Death Alert漏洞

在OpenSSL針對SSL/TLS協議握手過程的實現中，允許客戶端重複發送打包的 "SSL3_RT_ALERT" -> "SSL3_AL_WARNING" 類型明文未定義警告包，且OpenSSL在實現中遇到未定義警告包時仍選擇忽略並繼續處理接下來的通信內容(如果有的話)。攻擊者可以容易的利用該缺陷在一個消息中打包大量未定義類型警告包，使服務或進程陷入無意義的循環，從而導致佔用掉服務或進程100%的CPU使用率。同樣的問題也存在於Gnutls軟體中。

漏洞修復方案

從供應商獲得軟體更新，參考以下鏈接：

OpenSSL：https://www.openssl.org/source/

Debian：https://security-tracker.debian.org/tracker/CVE-2016-8610

Redhat/CentOS：https://access.redhat.com/security/cve/CVE-2016-8610

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！