2024年1月31号,runc官方发布安全通告(https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv ),披漏了其存在容器逃逸的漏洞,漏洞编号CVE-2024-21626。
v1.0.0-rc93 ~ 1.1.11
1.当前runc官方已发布修复版本,建议升级至1.1.12版本
(https://github.com/opencontainers/runc/releases/tag/v1.1.12)
2.对于腾讯云TKE容器服务:
(1)针对2024年2月3日之后创建的新增 TKE 集群和节点不受该漏洞影响。(2)针对存量节点,可通过在机器上执行以下命令进行修复或进行节点替换:
wget http://static.ccs.tencentyun.com/fix-cve-2024-21626.tar.gz && tar -zxf fix-cve-2024-21626.tar.gz && fix-cve-2024-21626/runc-v1.1.12.sh
3.如无法升级到修复版本,短期内可以采用以下最佳实践来降低风险:
(1)不使用非受信的镜像,包括作为基础镜像;
(2)增强容器间的隔离,增强运行时安全检测能力,进而减轻漏洞的影响;
runc作为容器运行时的重要支撑组件,广泛与多种容器工具和平台集成使用,该漏洞几乎影响runc的所有历史版本,范围很广。
在漏洞披露之后,腾讯安全BAS团队第一时间对该漏洞进行分析研判,并通过腾讯安全验证服务(BAS)实现漏洞验证的支持,帮助容器用户快速识别安全风险,确认防御措施的有效性。
除此之外,腾讯安全验证服务(BAS)还支持包括运行时安全、配置安全、网络安全等多种容器安全的有效性验证。
腾讯安全验证服务(BAS)提供自动化的安全防御有效性验证,是腾讯安全服务体系里的一项关键能力。能够帮助企业持续评估安全防御体系,发现防御弱点,优化策略配置,规划安全投入,提升安全水位。
目前已服务金融、交通、制造、互联网等多个行业用户。更多内容,可点击链接了解详情:https://cloud.tencent.com/product/bas。
云鼎实验室视频号
一分钟走进趣味科技
原文始发于微信公众号(云鼎实验室):安全验证 | Runc CVE-2024-21626 容器逃逸漏洞预警
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论