runC容器逃逸漏洞預(yù)警（CVE-2024-21626）

2024-02-01

一、概要

近日，華為云關(guān)注到runC社區(qū)發(fā)布最新版本，當(dāng)中修復(fù)了一處高危級別的容器逃逸漏洞（CVE-2024-21626）。由于內(nèi)部文件描述符泄漏，攻擊者可通過控制容器進程的工作目錄，或命令路徑，將其設(shè)置為文件描述符的父級目錄下的路徑，讀寫主機任意文件，實現(xiàn)容器逃逸。

runC是一個基于OCI標(biāo)準(zhǔn)實現(xiàn)的一個輕量級容器運行工具，是Docker、Containerd、K8s等容器軟件的核心基礎(chǔ)組件。華為云提醒使用runC的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv

https://github.com/opencontainers/runc/commit/02120488a4c0fc487d1ed2867e901eeed7ce8ecf

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

1.0.0-rc93 <= runC ＜=  1.1.11

安全版本：

runC 1.1.12

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

https://github.com/opencontainers/runc/releases/tag/v1.1.12

官方緩解措施參考如下（實施前請評估對業(yè)務(wù)的影響）：

1. 設(shè)置容器的WORKDIR為/

2. 僅允許用戶運行受信任的鏡像

3. 不要運行exec

注：修復(fù)漏洞前請將資料備份，并進行充分測試。

華為云HSS企業(yè)版及以上版本應(yīng)急漏洞掃描功能已支持runC容器逃逸漏洞檢測，并能有效檢測當(dāng)前主機是否存在容器逃逸利用的風(fēng)險；入侵檢測告警功能已增加相關(guān)HIPS檢測規(guī)則，當(dāng)攻擊者利用該漏洞進行容器逃逸時，可以產(chǎn)生相關(guān)告警。相關(guān)功能說明請參見https://support.huaweicloud.com/usermanual-hss2.0/hss_01_0412.html 。

注：Linux系統(tǒng)的Agent版本為3.2.9及以上版本時支持掃描應(yīng)急漏洞。