长亭百川云 - 文章详情

安全验证 | Runc CVE-2024-21626 容器逃逸漏洞预警

云鼎实验室

53

2024-07-13

漏洞描述

2024年1月31号,runc官方发布安全通告(https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv ),披漏了其存在容器逃逸的漏洞,漏洞编号CVE-2024-21626。

影响版本

v1.0.0-rc93 ~ 1.1.11

解决方案

1.当前runc官方已发布修复版本,建议升级至1.1.12版本

https://github.com/opencontainers/runc/releases/tag/v1.1.12)

2.对于腾讯云TKE容器服务:

(1)针对2024年2月3日之后创建的新增 TKE 集群和节点不受该漏洞影响。(2)针对存量节点,可通过在机器上执行以下命令进行修复或进行节点替换:

wget http://static.ccs.tencentyun.com/fix-cve-2024-21626.tar.gz && tar -zxf fix-cve-2024-21626.tar.gz && fix-cve-2024-21626/runc-v1.1.12.sh

3.如无法升级到修复版本,短期内可以采用以下最佳实践来降低风险:

(1)不使用非受信的镜像,包括作为基础镜像;

(2)增强容器间的隔离,增强运行时安全检测能力,进而减轻漏洞的影响;

安全验证规则

runc作为容器运行时的重要支撑组件,广泛与多种容器工具和平台集成使用,该漏洞几乎影响runc的所有历史版本,范围很广。

在漏洞披露之后,腾讯安全BAS团队第一时间对该漏洞进行分析研判,并通过腾讯安全验证服务(BAS)实现漏洞验证的支持,帮助容器用户快速识别安全风险,确认防御措施的有效性。

除此之外,腾讯安全验证服务(BAS)还支持包括运行时安全、配置安全、网络安全等多种容器安全的有效性验证。

关于安全验证服务(BAS)

腾讯安全验证服务(BAS)提供自动化的安全防御有效性验证,是腾讯安全服务体系里的一项关键能力。能够帮助企业持续评估安全防御体系,发现防御弱点,优化策略配置,规划安全投入,提升安全水位。

目前已服务金融、交通、制造、互联网等多个行业用户。更多内容,可点击链接了解详情:https://cloud.tencent.com/product/bas。

END

更多精彩内容点击下方扫码关注哦~

   云鼎实验室视频号

  一分钟走进趣味科技

     -扫码关注我们-

关注云鼎实验室,获取更多安全情报

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2