近日，微软官方发布安全补丁，修复了 Windows 远程桌面服务（RDP）的远程代码执行漏洞 CVE-2019-0708，此漏洞是预身份验证且无需用户交互（无需验证系统账户密码）下即可远程触发，这就意味着这个漏洞可以通过网络蠕虫的方式被利用，影响极大。

影响范围：
该漏洞影响了如下 Windows Server 系统：
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003

注意事项：
1. 请勿在公网开放 Windows 远程桌面服务（RDP），即 3389 端口。如必须开放，请升级之后再开放，并增加必要的防火墙安全策略。
2. 青云会定期给客户发送高危端口开放的风险提示，请大家关注并根据邮件指引采取相应措施。

修复办法：
微软官方已经推出安全更新请参考以下官方安全通告下载并安装最新补丁：
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

参考资料：
[CVE-2019-0708]
(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708)

尊敬的用户：

针对近期暴露的 runc 容器逃逸漏洞，青云 QingCloud 一直在密切观察和研究，同时与您同步以下信息并期望获得您的重视：

什么是 runc

Runc 是一个根据 OCI (Open Container Initiative) 标准构建的并运行容器的底层工具，诸如 Docker，Containerd 以及 CRI-O 都以其为底层核心去处理数据的格式化和序列化。而 Kubernetes 作为容器调度管理平台基于这些容器运行环境，也受到了此漏洞的影响。

此漏洞（CVE-2019-5736）可能会造成的影响

引自 runc 团队的 Aleksa Sarai 的解释（翻译稿）：“此项安全漏洞允许恶意容器（在最低用户交互等级下）覆盖主机 runc 二进制文件，这意味着攻击者将借此获得在主机上以 root 层级执行代码的权限。”

“具体来讲，攻击者能够利用一套其可以控制的镜像创建新的容器，或者是向其能够访问的现有容器之内添加 docker exec 文件。在这类情况下的任意容器当中，该攻击者都将能够通过当前用户交互等级以 root 权限运行任意命令（无论命令本身是否由攻击者所控制）。”

降低风险以及规避漏洞的建议

• 严格控制集群的外网访问权限
• 不下载和运行来历不明的容器镜像
• 以 non-0 方式运行容器镜像（在 securityContext 中配置 runAsUser）

  apiVersion: v1
  kind: Pod
  metadata:
    name: run-as-uid-1000
  spec:
    securityContext:
      runAsUser: 1000
    # ...

• 升级 docker 或者 runc
  升级 Docker 至 18.06.2，可参考官方文档（注意：此版本仅兼容 4.x 内核，请谨慎升级）
  runc 升级参考：
  1. 定位 runc 的执行文件位置：

  which docker-runc

  2. 备份此文件：

  mv /usr/bin/docker-runc /usr/bin/docker-runc.bak.$(date -Iseconds)

  3. 获取对应 OS 和 docker 版本的 runc 执行文件，并复制到相应目录：

  cp runc-v18.06.1-amd64 /usr/bin/docker-runc

  4. 确保 docker-runc 具有可执行权限：

  chmod +x /usr/bin/docker-runc

  5. 验证其能否正常工作：

  docker-runc -v
  docker run -it --rm ubuntu echo OK

在以上配置升级过程中碰到任何问题，您可联系青云客服获取我们的支持。

青云 QingCloud 平台可能受影响的服务及产品

公有云容器服务：Kubernetes On QingCloud

容器产品：KubeSphere

我们容器团队会在近期发布 Kubernetes On QingCloud 以及 KubeSphere 的升级版本进行漏洞修复。

尊敬的用户：

近期，我们发现有用户因为公网开放了高危端口，导致被不法分子入侵，使得用户的业务和数据受损。请您务必对防火墙进行排查，关闭对应的高危端口。需要开放访问的高危端口建议通过 VPN/IPSec 等隧道方式进行访问。对于必须在公网上直接开放的端口，建议在防火墙加入 IP 白名单保护，同时配置必要的安全策略。

以下为常见的高危端口，供参考：

TCP 端口：
SSH：22
Windows：3389
MySQL：3306
PostgreSQL：5432
MongoDB：27017
ElasticSearch：9200/9300
Redis：6379
Zookeeper：2181
Kafka：9092
Hadoop：50070/8088
Spark：8080
HBase：60010
Hive：10000

UDP 端口：
11211,123,1900,53,161,389,19,137

以下为参考链接：

https://docs.qingcloud.com/product/faq/index.html#如何使用-ssh-密钥来访问主机
https://docs.qingcloud.com/product/security/security_group
https://docs.qingcloud.com/product/network/vpn

有任何需求与建议，请您随时发送工单与我们沟通。

尊敬的用户：

近日利用 Memcached 服务器实施反射型 DDoS 攻击的事件逐渐上升，如果用户的 Memcached 对公网提供服务且开放了 UDP 11211 端口，在没有做安全控制措施的情况下，可能被黑客利用向受害者发送 DDoS 攻击。

青云提供的 Memcached 服务是运行在私有网络中的，默认不向公网开放，不会受到影响，可放心使用。

受影响范围：
用户自建了 Memcached 并对公网提供服务且开放了 UDP 11211 端口。

排查方法：
1. 是否有自建 Memcached 服务。
2. Memcached 服务是否监听了 UDP 11211 端口并通过公网开放。
3. 通过服务器的公网 IP 发送 “echo -en “\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n” | nc -u ip 11211″ 指令，有返回则可能受影响。

修复办法：
1. 修改 Memcached 的配置文件，将 UDP 监听端口改为非 11211 端口。
2. 将 Memcached 部署在 VPC 内部使用，不对公网开放 UDP 11211 端口。
3. 对 Memcached 进行安全加固，启用登录认证等安全功能。

如需其他帮忙，请通过工单与我们联系。

参考资料：
【预警通告】[Memcached DRDos 攻击预警]

尊敬的用户：

对于近期爆出的 Intel CPU 芯片漏洞的安全问题，青云QingCloud 一直在密切观察和研究，并和 Intel 保持沟通。根据目前最新确认的信息，该漏洞一共有三种利用方式：

1) bounds check bypass [CVE-2017-5753](https://spectreattack.com/spectre.pdf)

2) branch target injection [CVE-2017-5715](https://spectreattack.com/spectre.pdf)

3) rogue data cache load [CVE-2017-5754](https://meltdownattack.com/meltdown.pdf)

对于青云QingCloud 云平台而言，方式 1 和 3 已确定没有影响；方式 2 可能存在安全风险，但截止目前，还没有出现漏洞被利用的案例。针对该漏洞风险，我们已经制定了应对方案，并将于近期对云平台进行在线补丁修复。绝大部分用户对该修复操作将无任何感知，对于可能受到影响的极小部分用户，我们会另行通知。请您持续留意青云QingCloud 的官方通知。

对于用户的虚拟机而言，方式1/2/3都可能产生影响，原理上攻击者可利用漏洞越权获取本地信息。为彻底规避该风险，您需要对操作系统进行补丁更新来完成修复工作。但由于漏洞的利用难度较高，请您根据自身业务情况决定是否需要立即升级修复漏洞。待主流的操作系统厂商提供正式补丁之后，青云QingCloud 会第一时间提供最新的模板。

关于此次漏洞的修复进展，请留意青云QingCloud 的官方通知，我们会第一时间更新。有任何问题，请随时通过工单与我们联系。

青云QingCloud

尊敬的用户：

对于近期爆出的 Intel CPU 芯片漏洞的安全问题，青云QingCloud 已经收到正式通知并正在采用各种积极措施确保用户不会受其影响。

因各云平台采用了不同的虚拟化技术，该漏洞影响程度可能不同。根据目前可以确认的信息，青云云平台暂未受到确定的影响，也没有任何信息表明已有用户因此受到攻击威胁。我们仍在密切观察并与 Intel 保持持续沟通，待有进一步信息确认，我们会及时通知用户。请您留意青云QingCloud 的官方通知。

青云QingCloud

近日，启明星辰 ADLab 发现了 Linux 内核存在远程漏洞 “Phoenix Talon”，涉及 CVE-2017-8890、CVE-2017-9075、CVE-2017-9076、CVE-2017-9077，可影响几乎所有 Linux kernel 2.5.69 ~ Linux kernel 4.11 的内核版本、对应的发行版本以及相关国产系统。请可能被漏洞影响的用户仔细阅读本文，并做相应的处理。

我们第一时间对漏洞进行了分析研究，这四个相关的 CVE 均为 double free 相关。因此如果触发了这些漏洞，最直接的结果是导致系统宕机。如果被黑客利用，可能会导致 DOS 攻击或其它未知风险。具体的触发条件整理如下：

触发条件:
1. CVE-2017-8890
当使用传输层 TCP 协议，并在服务端 socket 设置了 MCAST_JOIN_GROUP 选项时，可能会在 TCP 的连接处理中触发 double free。
2. CVE-2017-9075，CVE-2017-9076，CVE-2017-9077
当使用传输层 SCTP/DCCP 协议及网络层 IPv6 协议，可能会在连接处理中触发 double free。

注意事项：
1. 经过对漏洞的分析，除 CVE-2017-8890 以外，只要用户未使用传输层 SCTP/DCCP 及网络层 IPv6 协议即不会受到影响；而对于 CVE-2017-8890，只要服务程序在建立 socket 时未使用 MCAST_JOIN_GROUP 功能选项也不会受到影响。所以对于未满足以上条件的用户，大家可以放心使用。
2. 如果您的服务程序有使用 MCAST_JOIN_GROUP 功能选项，或者有使用传输层 SCTP/DCCP 协议及网络层 IPv6 协议，请更新最新内核版本或通过 livepatch 进行补丁操作。

Patch 链接：
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=657831ffc38e30092a2d5f03d385d710eb88b09a
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=fdcee2cbb8438702ea1b328fb6e0ac5e9a40c7f8
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=83eaddab4378db256d00d295bda6ca997cd13a52

参考资料：
http://www.csdn.net/article/a/2017-06-16/15928962
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8890
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9075
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9076
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9077