服务公告

全部公告 > 安全公告 > runC容器逃逸漏洞预警(CVE-2024-21626)

runC容器逃逸漏洞预警(CVE-2024-21626)

2024-02-01

一、概要

近日,华为云关注到runC社区发布最新版本,当中修复了一处高危级别的容器逃逸漏洞(CVE-2024-21626)。由于内部文件描述符泄漏,攻击者可通过控制容器进程的工作目录,或命令路径,将其设置为文件描述符的父级目录下的路径,读写主机任意文件,实现容器逃逸。

runC是一个基于OCI标准实现的一个轻量级容器运行工具,是Docker、Containerd、K8s等容器软件的核心基础组件。华为云提醒使用runC的用户及时安排自检并做好安全加固。

参考链接:

https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv

https://github.com/opencontainers/runc/commit/02120488a4c0fc487d1ed2867e901eeed7ce8ecf

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急) 

三、漏洞影响范围

影响版本:

1.0.0-rc93 <= runC <=  1.1.11

安全版本:

runC 1.1.12

四、漏洞处置

目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:

https://github.com/opencontainers/runc/releases/tag/v1.1.12

官方缓解措施参考如下(实施前请评估对业务的影响):

1. 设置容器的WORKDIR为/

2. 仅允许用户运行受信任的镜像

3. 不要运行exec

注:修复漏洞前请将资料备份,并进行充分测试。

华为云HSS企业版及以上版本应急漏洞扫描功能已支持runC容器逃逸漏洞检测,并能有效检测当前主机是否存在容器逃逸利用的风险;入侵检测告警功能已增加相关HIPS检测规则,当攻击者利用该漏洞进行容器逃逸时,可以产生相关告警。相关功能说明请参见https://support.huaweicloud.com/intl/zh-cn/usermanual-hss2.0/hss_01_0412.html

注:Linux系统的Agent版本为3.2.9及以上版本时支持扫描应急漏洞。