服务公告
runC容器逃逸漏洞预警(CVE-2024-21626)
2024-02-01
一、概要
近日,华为云关注到runC社区发布最新版本,当中修复了一处高危级别的容器逃逸漏洞(CVE-2024-21626)。由于内部文件描述符泄漏,攻击者可通过控制容器进程的工作目录,或命令路径,将其设置为文件描述符的父级目录下的路径,读写主机任意文件,实现容器逃逸。
runC是一个基于OCI标准实现的一个轻量级容器运行工具,是Docker、Containerd、K8s等容器软件的核心基础组件。华为云提醒使用runC的用户及时安排自检并做好安全加固。
参考链接:
https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv
https://github.com/opencontainers/runc/commit/02120488a4c0fc487d1ed2867e901eeed7ce8ecf
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
1.0.0-rc93 <= runC <= 1.1.11
安全版本:
runC 1.1.12
四、漏洞处置
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:
https://github.com/opencontainers/runc/releases/tag/v1.1.12
官方缓解措施参考如下(实施前请评估对业务的影响):
1. 设置容器的WORKDIR为/
2. 仅允许用户运行受信任的镜像
3. 不要运行exec
注:修复漏洞前请将资料备份,并进行充分测试。
华为云HSS企业版及以上版本应急漏洞扫描功能已支持runC容器逃逸漏洞检测,并能有效检测当前主机是否存在容器逃逸利用的风险;入侵检测告警功能已增加相关HIPS检测规则,当攻击者利用该漏洞进行容器逃逸时,可以产生相关告警。相关功能说明请参见https://support.huaweicloud.com/intl/zh-cn/usermanual-hss2.0/hss_01_0412.html。
注:Linux系统的Agent版本为3.2.9及以上版本时支持扫描应急漏洞。