写点什么

云小课|Runc 容器逃逸漏洞(CVE-2024-21626)安全风险通告

  • 2024-02-04
    广东
  • 本文字数:1044 字

    阅读完需:约 3 分钟

云小课|Runc容器逃逸漏洞(CVE-2024-21626)安全风险通告

阅识风云是华为云信息大咖,擅长将复杂信息多元化呈现,其出品的一张图(云图说)、深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处



runc 官方发布安全公告,披露 runc 1.1.11 及更早版本中存在容器逃逸漏洞,攻击者会利用该漏洞导致容器逃逸,进一步获取宿主机权限。


本文分享自华为云社区《云小课|Runc容器逃逸漏洞(CVE-2024-21626)安全风险通告》,作者:阅识风云。



近日,华为云主机安全服务团队关注到 runc 官方发布安全公告,披露 runc 1.1.11 及更早版本中存在容器逃逸漏洞,攻击者会利用该漏洞导致容器逃逸,进一步获取宿主机权限。


runc 官方公告详情参考:https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv


runc 官方已发布安全更新修复该漏洞,建议用户及时进行安全自检并做好安全加固以降低被攻击的风险。

一、漏洞情况分析

1. 什么是 runc?


runc 是一个根据 OCI(Open Container Initiative)标准创建并运行容器的 CLI tool,目前 Docker、Containerd、CRI-O 和 Podman 等容器都运行在 runc 之上。

2. runc 容器逃逸漏洞详情


3. runc 容器逃逸漏洞复现情况


目前,华为云主机安全服务团队已在 Docker 容器环境下成功复现 runc 容器逃逸漏洞(CVE-2024-21626),配置特殊 workdir 路径后,在容器内可读取到宿主机文件内容,复现情况如下图所示:


二、漏洞影响范围


1.0.0-rc93<=runc<=1.1.11

三、漏洞处置建议

1. 安全更新


目前 runc 官方已发布补丁版本,建议用户升级到最新版本(1.1.12)。


runc 官方链接:https://github.com/opencontainers/runc/releases

2. 华为云主机安全服务(HSS)解决方案


·风险预防


HSS 应急漏洞扫描功能已支持 runc 容器逃逸漏洞检测,并能有效检测当前主机是否存在容器逃逸利用的风险。


a. 登录 HSS 服务控制台。


b. 在左侧导航栏,选择“风险预防>漏洞管理”,进入漏洞管理界面。


c. 选择“漏洞视图>应急漏洞”页签。


d. 在 runc 容器逃逸漏洞所在行的操作列,单击“立即扫描”,执行漏洞扫描。


e. 扫描完成后,单击漏洞名称查看检测结果。相关检测结果如下图所示:



·入侵检测


HSS 已更新 HIPS 相关实时告警检测规则,在检测到漏洞利用后会进行告警。


a. 登录 HSS 服务控制台。


b. 在左侧导航栏,选择“入侵检测>安全告警事件”,进入安全告警事件界面。


c. 选择“主机安全告警”页签。


d. 在待处理告警栏,选择“系统异常行为>文件提权”,查看 workdir 参数进行容器逃逸的告警,相关告警如下图所示:



赶紧戳这里,体验华为云主机安全服务漏洞处置能力!


点击关注,第一时间了解华为云新鲜技术~

发布于: 刚刚阅读数: 3
用户头像

提供全面深入的云计算技术干货 2020-07-14 加入

生于云,长于云,让开发者成为决定性力量

评论

发布
暂无评论
云小课|Runc容器逃逸漏洞(CVE-2024-21626)安全风险通告_云计算_华为云开发者联盟_InfoQ写作社区