【高危安全通告】runc容器逃逸漏洞

↑ 点击上方关注我们

近日，安全狗应急响应中心关注到runc官方发布安全公告，披露出在runc的1.1.11及之前的版本中，由于文件描述符泄露的问题，导致攻击者能够逃逸容器化环境，并且还可能导致允许完全控制底层主机系统。

漏洞描述

runc 是一个轻量级的工具，用于创建和运行容器。它是由Open Container Initiative (OCI) 维护的一个开源项目，旨在提供一个标准化的容器运行时接口。

2024年1月31日，runc官方发布安全通告修复了runc在"v1.0.0-rc93"到"1.1.11"版本的容器逃逸漏洞(CVE-2024-21626)。在 runc 1.1.11 及更早版本中，由于内部文件描述符泄漏，攻击者可能会导致新生成的容器进程（来自 runc exec）在主机文件系统命名空间中拥有一个工作目录，从而允许通过授予访问权限来逃逸容器到主机文件系统。

鉴于此漏洞影响范围较大，我们强烈建议用户尽快进行自查和强化安全防护措施。

安全通告信息

漏洞名称	runc容器逃逸漏洞(CVE-2024-21626)
漏洞影响版本	1.0.0-rc93 <= runc <= 1.1.11
漏洞危害等级	高危
厂商是否已发布漏洞补丁	是
版本更新地址	https://github.com/opencontainers/runc/releases/
安全狗总预警期数	269
安全狗发布预警日期	2024年02月01日
安全狗更新预警日期	2024年02月01日
发布者	安全狗海青实验室

安全建议

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本（runc>=1.1.12）。

官方网站：https://github.com/opencontainers/runc/

参考链接

https://github.com/opencontainers/runc/commit/02120488a4c0fc487d1ed2867e901eeed7ce8ecf

https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv

https://github.com/opencontainers/runc/releases/tag/v1.1.12

安全狗产品解决方案

若想了解更多安全狗产品信息或有相关业务需求，可前往安全狗官网了解：https://www.safedog.cn/

01

云眼·新一代（云）主机入侵检测及安全管理系统

安全狗云眼采用Gartner提出的CWPP理念，提出了以工作负载为中心，以自动化、细粒度资产采集为基础，提供多种风险排查和漏洞发现手段，依托反杀伤链和实时入侵检测响应能力支撑企业安全防护二道防线，解决现代混合云、多云数据中心基础架构中服务器工作负载的安全需求，最终达到对已知威胁的自动响应以及对潜在威胁的检测识别。

02

云御·新一代混合式web应用防护系统

云御是一款新一代混合式Web防火墙产品，通过网络层过滤和主机应用层自保护（RASP）相结合的技术，既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别，达到双层纵深防御的效果。

03

云网·（云）主机漏洞发现及补丁修复系统

安全狗云网·发现及补丁修复系统可以为用户构建属于自己的补丁大数据仓库，用于修补可能导致安全薄弱、破坏关键系统数据或导致系统不可用的漏洞。云网不仅可以进行补丁部署，还可扫描网络漏洞、识别缺失的安全补丁和修补程序，并立即部署以降低网络空间风险。

原文始发于微信公众号（海青安全研究实验室）：【高危安全通告】runc容器逃逸漏洞