Weave 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
Weave 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
Weave 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !
授权协议 Apache
开发语言 Google Go SHELL
操作系统 Linux
软件类型 开源软件
所属分类 云计算Docker 扩展
开源组织
地区 不详
投 递 者 红薯
适用人群 未知
收录时间 2014-11-05

软件简介

Weave 创建一个虚拟网络并连接到部署在多个主机上的 Docker 容器。

Weave Virtual Network

应用程序使用该网络就好像它们是插在同一个网络交换机上,无需任何配置和端口映射。容器内的服务可直接为容器外的应用所访问,而不需要关心容器运行在什么地方。

Weave Deployment

Weave 可穿越防火墙并在部分已连接网络中操作。可以是加密的,也可以通过非信任网络连接。使用 Weave 你可以轻松构建运行于任何地方的多个容器。Weave 使用 Docker 单机已有的网络功能。

展开阅读全文

代码

评论

点击引领话题📣 发布并加入讨论🔥
暂无内容
发表了博客
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
发表了问答
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
runc 操作系统命令注入漏洞
OS命令注入
runc 是一个用来运行容器的轻量级的工具。 runc 的受影响版本在 18.09.2 之前的 Docker 和其他产品中使用存在操作系统命令注入漏洞。攻击者可利用此漏洞通过覆盖主机 runc 二进制文件来获得主机 root 访问权限。
CVE-2019-5736 MPS-2019-1548
2023-12-20 19:57
miekg Go DNS package 安全特征问题漏洞
使用具有密码学弱点缺陷的PRNG
miekg Go DNS package是一款DNS服务器软件包。 miekg Go DNS package 1.1.25之前版本(用在CoreDNS 1.6.6之前版本和其他产品)中存在安全漏洞,该漏洞源于程序没有正确生成随机数。攻击者可利用该漏洞伪造响应。
CVE-2019-19794 MPS-2019-16292
2023-12-20 19:57
Miek Gieben DNS library for Go 代码问题漏洞
空指针取消引用
Miek Gieben DNS library for Go是一款使用在Go语言中的DNS(域名系统)库。 Miek Gieben DNS library for Go 1.0.10之前版本中的scan_rr.go文件的‘setTA’函数存在安全漏洞。攻击者可利用该漏洞造成拒绝服务(段错误)。
CVE-2018-17419 MPS-2019-2319
2023-12-20 19:57
Google Golang 资源管理错误漏洞
攻击者可以通过恶意制造的HTTP/2流来利用HPACK解码器中的漏洞,导致解码器过度消耗CPU资源,从而使服务器无法响应来自少量且小的请求,进而实施拒绝服务攻击。
CVE-2022-41723 MPS-2022-58307
2023-12-20 19:57
runc 权限许可和访问控制问题漏洞
缺省权限不正确
runc是一款用于根据OCI规范生成和运行容器的CLI(命令行界面)工具。 runc 存在权限许可和访问控制问题漏洞,攻击者利用该漏洞可获取特殊权限。
CVE-2022-29162 MPS-2022-8563
2023-12-20 19:57
Google Go 权限许可和访问控制问题漏洞
权限管理不当
Google Go是美国谷歌(Google)公司的一种静态强类型、编译型、并发型,并具有垃圾回收功能的编程语言。 Google go 存在权限许可和访问控制问题漏洞,该漏洞源于系统调用中的faccessat存在检查错误。
CVE-2022-29526 MPS-2022-9049
2023-12-20 19:57
runc <1.1.5 AppArmor限制绕过漏洞
访问控制不当
runc 是一个符合 OCI 规范的用于创建和运行容器的命令行工具,AppArmor 是一种 Linux 安全模块,用于实施进程级别的访问控制策略。 runc 1.1.5之前版本中,当容器内的 /proc 符号链接与特定的挂载配置(如:rootfs 目录下的对应目录)相关联时,可以绕过 AppArmor 的限制。runc 1.1.5版本通过禁止使用 /proc 符号链接修复此漏洞,无法升级的用户应避免使用不受信任的容器镜像。
CVE-2023-28642 MPS-2023-8507
2023-12-20 19:57
Moby 安全漏洞
未能安全地进行程序失效(Failing Open)
Moby是由Docker Inc.开发的开源容器框架,作为Docker、Mirantis Container Runtime和其他下游项目/产品进行分发。作为moby/moby开发的Moby守护程序组件(`dockerd`)通常被称为* Docker*。Swarm Mode是在dockerd中默认编译和发布的,并因此存在于大多数主要Moby下游中。它是一个简单的内置容器编排器,通过SwarmKit和支持的网络代码的组合来实现。覆盖网络驱动程序是Swarm Mode的核心功能之一,提供了允许容器和集群中的服务之间进行通信的隔离虚拟局域网。此驱动程序是VXLAN的实现/用户,通过在UDP数据包中标记帧的VXLAN网络ID(VNI)来封装链路层(以太网)帧。此外,覆盖网络驱动程序支持一个默认情况下关闭的可选加密模式,特别适用于VXLAN数据包在节点之间穿越不受信任的网络时。通过部署IPSec封装,加密覆盖网络获得了源身份验证的额外属性,通过加密证明实现数据完整性,以及通过加密保证机密性。在加密覆盖网络上设置端点时,Moby安装了三个iptables(Linux内核防火墙)规则,以强制执行入站和出站IPSec。这些规则依赖于由xt_u32内核模块提供的u32 iptables扩展,直接过滤VXLAN数据包的VNI字段,从而可以在不干扰其他覆盖网络或VXLAN的其他用户的情况下强制执行IPSec保证。两个iptables规则用于过滤具有对应于加密网络的VNI的入站VXLAN数据包,并丢弃未加密的数据包。这些规则添加到INPUT过滤链的末尾,位于系统管理员先前设置的任何规则之后。管理员设置的规则优先于Moby设置的规则,可能会导致未加密的VXLAN数据包被放行。注入任意以太网帧可以导致拒绝服务攻击。一个高级攻击者可能能够通过容器的出站网关建立一个通过有状态防火墙本应被阻止的UDP或TCP连接,或者通过向覆盖网络中的数据包添加隐藏数据包来执行其他的提升操作。补丁已在Moby发布版本23.0.3和20.10.24中提供。由于Mirantis Container Runtime的20.10版本编号不同,使用该平台的用户应升级到20.10.16。一些解决方法可用。关闭VXLAN端口(默认为UDP端口4789)以阻止所有VXLAN数据包的输入流量,和/或确保在Swarm集群的所有节点上都可用`xt_u32`内核模块。
CVE-2023-28840 MPS-2023-8823
2023-12-20 19:57
Moby 安全漏洞
未能安全地进行程序失效(Failing Open)
Moby是由Docker Inc.开发的开源容器框架,分发为Docker、Mirantis容器运行时和其他各种下游项目/产品。作为moby/moby开发的Moby守护进程组件(`dockerd`)通常被称为*Docker*。Swarm模式是默认编译和交付的`dockerd`中的一个简单内置容器编排器,通过SwarmKit和支持网络代码的组合来实现。`overlay`网络驱动是Swarm模式的核心功能,提供隔离的虚拟局域网(VLAN),允许容器和集群中的服务之间进行通信。该驱动程序是VXLAN的实现/用户,通过UDP数据报将链路层(以太网)帧封装在传输中,使用VXLAN元数据(包括标识源端的VXLAN网络ID)标记帧。此外,overlay网络驱动还支持可选的启用加密模式,当VXLAN数据包在节点之间通过不受信任的网络传输时,这一模式尤为有用。加密overlay网络通过在传输模式下使用IPsec封装安全有效负载协议来封装VXLAN数据报。通过部署IPSec封装,加密overlay网络获得源身份验证、数据完整性和机密性的额外属性。在加密overlay网络上设置终端时,Moby会安装三个iptables(Linux内核防火墙)规则来强制执行入站和出站IPSec。这些规则依赖于`xt_u32`内核模块提供的`u32`iptables扩展,以便直接过滤VXLAN数据包的VNI字段,从而可以在加密overlay网络上强制执行IPSec保证,而不会干扰其他overlay网络或VXLAN的其他用户。受影响平台上的加密overlay网络会静默传输未加密数据。因此,`overlay`网络可能看起来正常工作,按预期传递流量,但没有任何预期的机密性或数据完整性保证。位于网络上受信任位置的攻击者有可能读取通过overlay网络传输的所有应用程序流量,导致意外的机密信息或用户数据泄露。因此,由于许多数据库协议、内部API等没有受到第二层加密的保护,用户可能使用Swarm加密overlay网络来提供机密性,但由于此漏洞,这一保证不再可靠。Moby发布23.0.3和20.10.24中提供了补丁。由于Mirantis容器运行时的20.10版本编号不同,请使用该平台的用户升级到20.10.16。您可以采取一些解决方法,如在互联网边界关闭VXLAN端口(默认为UDP端口4789)以防止意外泄漏未加密流量,和/或确保在Swarm集群的所有节点上可用`xt_u32`内核模块。
CVE-2023-28841 MPS-2023-8824
2023-12-20 19:57
Moby 安全漏洞
未能安全地进行程序失效(Failing Open)
Moby中的加密覆盖网络存在漏洞,攻击者可以通过将以太网帧封装在VXLAN数据报中,向加密覆盖网络中注入任意帧。这可能导致严重后果,建议参考GHSA-vwm3-crmr-xfxw进行深入探讨。已在Moby发布的版本23.0.3和20.10.24中修复此问题。为了解决此问题,在多节点集群中,在每个节点上部署一个全局的‘pause’容器以用于每个加密覆盖网络。对于单节点集群,不要使用任何覆盖网络。桥接网络在单个节点上提供相同的连接性,而且没有多节点功能。Swarm的入口功能使用覆盖网络实现,但可以通过以`host`模式而不是`ingress`模式发布端口(允许使用外部负载均衡器),并删除入口网络来禁用该功能。如果仅使用加密覆盖网络,请阻止未通过IPSec验证的流量的UDP端口4789。
CVE-2023-28842 MPS-2023-8826
2023-12-20 19:57
Google Golang 资源管理错误漏洞
拒绝服务
恶意的HTTP/2客户端可以通过快速创建并立即重置请求来导致服务器资源消耗过度。虽然总请求数受http2.Server.MaxConcurrentStreams设置的限制,但重置正在进行中的请求允许攻击者在现有请求仍在执行时创建新的请求。修复后,HTTP/2服务器现在将同时执行处理程序协程的数量限制为流并发限制(MaxConcurrentStreams)。当到达限制时(这只能在客户端重置现有的在飞行请求后发生),新的请求将排队等待处理程序退出。如果请求队列过大,服务器将终止连接。该问题还在手动配置HTTP/2的golang.org/x/net/http2中得到了解决。默认的流并发限制是每个HTTP/2连接250个流(请求)。可以使用golang.org/x/net/http2包进行调整;请参阅Server.MaxConcurrentStreams设置和ConfigureServer函数。
CVE-2023-39325 MPS-c8am-hbny
2023-12-20 19:57
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
0 评论
181 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部