安全漏洞 CVE-2024-21626 由 runc 社区披露,攻击者可以利用此漏洞越权访问宿主机或执行二进制程序,详情请参见 GHSA-xr7r-f8xq-vfvv。
漏洞级别
CVE-2024-21626 漏洞被评估为高危漏洞,在 CVSS 的评分为 8.6。
影响范围
- 受影响的 runc 版本:1.0.0-rc93 <= runc <= 1.1.11
- 安全的 runc 版本:runc 1.1.12
- VKE 集群影响范围:v1.4.11 <= 节点 Containerd 版本 <= v1.6.21-vke.11
漏洞影响
当使用的 runc 版本在受影响范围内时,会产生内部文件描述符泄露,攻击者可以将新生成的容器进程工作目录设置到宿主机文件系统命名空间中,进而产生容器泄露的可能。更多详情,请参见 火山引擎关于 runc 容器逃逸漏洞 (CVE-2024-21626) 影响声明。
防范措施
- 确保只允许容器(以及 runc exec)使用 process.cwd 为
/
(根目录)的镜像。 - 基于最小化权限原则,确保只有可信人员具有导入镜像的权限。
- 确保只允许用户使用可信仓库来源的镜像。
修复方案
- 新建 VKE 集群不受该漏洞影响。对于受影响范围内的 VKE 集群节点,请提交 集群升级 功能的 邀测申请,升级集群到最新补丁版本。
- 对于无法使用集群升级功能的用户,请 提交工单 获取技术支持,升级受影响节点 runc 至 1.1.12 版本。