Docker镜像漏洞调查：SSL Death Alert排名“榜首”

近日，国外安全机构Federacy发布一项公开仓库中的Docker镜像漏洞调查，结果显示有24%的Docker镜像存在多个已知漏洞，影响最广泛的是一个名为SSL Death Alert（死亡警戒）的拒绝服务漏洞。据悉该漏洞由中国安全团队360GearTeam发现，并提交给厂商在2016年10月完成修复，但目前在公开仓库中仍有很大比例的Docker镜像没有进行安全更新。

Federacy调查原文：https://www.federacy.com/docker_image_vulnerabilities

SSL Death Alert是由360GearTeam安全研究员石磊在阅读OpenSSL源码时发现的，它是基础开源加密软件OpenSSL和GnuTLS的漏洞，会导致基于GnuTLS、OpenSSL和NSS编译的软件产生拒绝服务攻击，也可以直接远程影响到Nginx、Apache等重要Web组件的正常运行。由于大部分Docker镜像包含这些基础软件，因此也受到漏洞影响。

发现漏洞后，360GearTeam第一时间将SSL Death Alert的技术细节提交给OpenSSL 官方和 RedHat 产品安全团队。2016年10月，OpenSSL、Debian以及Redhat/CentOS都发布安全公告（漏洞编号：CVE-2016-8610），并推出软件更新版本。但是由于部分企业缺乏安全运维能力，此漏洞在官方修复半年后竟成为Docker镜像的“大杀器”。

Docker容器是一种轻量级的虚拟化解决方案，可以简化服务器部署，隔离系统上的不同服务，整合服务器资源等，是云计算的重要基础组件。镜像是Docker中的核心技术，用以支撑Docker容器的运行。各大软件发行商可以提供一个基础的Docker镜像，比如Ubuntu、Debian、RHEL等，类似于一个基本的发行版环境；开发者或者运维人员还可以在基础镜像中部署一些其他环境，比如MySQL、SSL等。

在网络世界，大量服务器端软件都会使用OpenSSL，Docker作为云计算基础，能够为企业提供各种PaSS服务，这些服务中很多都会用到OpenSSL。一旦SSL Death Alert漏洞被黑客恶意利用，使用Docker的网站和企业的服务器将面临着被轻易攻击瘫痪的危险，对企业造成严重损失，同时也会影响到用户对各种互联网服务的正常使用。Federacy的Docker镜像漏洞调查就是为此敲响了警钟。

360GearTeam表示，对于SSL Death Alert这类基础软件漏洞，企业的安全运维人员应全面排查相关软件的部署状况，及时采取升级版本等安全更新措施，从而彻底消除漏洞风险。

关于360GearTeam

360GearTeam是360公司旗下一支专注于互联网基础组件安全研究的新锐团队，2016年获QEMU、Xen、VirtualBox等虚拟化软件致谢65次，以及OpenSSL、NTP、Firefox等重要开源项目致谢49次，成立不到一年时间就荣获了上百次漏洞报告致谢，达到世界领先水平。

关于SSL Death Alert漏洞

在OpenSSL针对SSL/TLS协议握手过程的实现中，允许客户端重复发送打包的 "SSL3_RT_ALERT" -> "SSL3_AL_WARNING" 类型明文未定义警告包，且OpenSSL在实现中遇到未定义警告包时仍选择忽略并继续处理接下来的通信内容（如果有的话）。攻击者可以容易的利用该缺陷在一个消息中打包大量未定义类型警告包，使服务或进程陷入无意义的循环，从而导致占用掉服务或进程100%的CPU使用率。同样的问题也存在于Gnutls软件中。

漏洞修复方案

从供应商获得软件更新，参考以下链接：

OpenSSL：https://www.openssl.org/source/

Debian：https://security-tracker.debian.org/tracker/CVE-2016-8610

Redhat/CentOS：https://access.redhat.com/security/cve/CVE-2016-8610