安全验证 | Runc CVE-2024-21626 容器逃逸漏洞预警
2024-2-4 15:18:7 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

漏洞描述

2024年1月31号,runc官方发布安全通告(https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv ),披漏了其存在容器逃逸的漏洞,漏洞编号CVE-2024-21626。

影响版本

v1.0.0-rc93 ~ 1.1.11

解决方案

1.当前runc官方已发布修复版本,建议升级至1.1.12版本

https://github.com/opencontainers/runc/releases/tag/v1.1.12)

2.对于腾讯云TKE容器服务:

(1)针对2024年2月3日之后创建的新增 TKE 集群和节点不受该漏洞影响。(2)针对存量节点,可通过在机器上执行以下命令进行修复或进行节点替换:

wget http://static.ccs.tencentyun.com/fix-cve-2024-21626.tar.gz && tar -zxf fix-cve-2024-21626.tar.gz && fix-cve-2024-21626/runc-v1.1.12.sh

3.如无法升级到修复版本,短期内可以采用以下最佳实践来降低风险:

(1)不使用非受信的镜像,包括作为基础镜像;

(2)增强容器间的隔离,增强运行时安全检测能力,进而减轻漏洞的影响;

安全验证规则

runc作为容器运行时的重要支撑组件,广泛与多种容器工具和平台集成使用,该漏洞几乎影响runc的所有历史版本,范围很广。

在漏洞披露之后,腾讯安全BAS团队第一时间对该漏洞进行分析研判,并通过腾讯安全验证服务(BAS)实现漏洞验证的支持,帮助容器用户快速识别安全风险,确认防御措施的有效性。

除此之外,腾讯安全验证服务(BAS)还支持包括运行时安全、配置安全、网络安全等多种容器安全的有效性验证。

关于安全验证服务(BAS)

腾讯安全验证服务(BAS)提供自动化的安全防御有效性验证,是腾讯安全服务体系里的一项关键能力。能够帮助企业持续评估安全防御体系,发现防御弱点,优化策略配置,规划安全投入,提升安全水位。

目前已服务金融、交通、制造、互联网等多个行业用户。更多内容,可点击链接了解详情:https://cloud.tencent.com/product/bas。

END
更多精彩内容点击下方扫码关注哦~

   云鼎实验室视频号

  一分钟走进趣味科技

     -扫码关注我们-
关注云鼎实验室,获取更多安全情报

文章来源: https://mp.weixin.qq.com/s?__biz=MzU3ODAyMjg4OQ==&mid=2247496094&idx=1&sn=aba1e72c0a1c447ceea898625120f283&chksm=fd790d18ca0e840e57998c4be4c64b5825adf224f2300de44613ea887f28ff01042614a68f26&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh