扫码阅读
手机扫码阅读
【CVE-2024-21626】容器逃逸漏洞修复
267 2024-07-19
我们非常重视原创文章,为尊重知识产权并避免潜在的版权问题,我们在此提供文章的摘要供您初步了解。如果您想要查阅更为详尽的内容,访问作者的公众号页面获取完整文章。
文章来源:
咸鱼运维杂谈
扫码关注公众号
摘要
本文由咸鱼提供,介绍了一个热门的CVE漏洞——runc容器逃逸漏洞,并展示了漏洞的攻击方式、演示和修复步骤。
漏洞介绍
docker-runc是一个基于Go语言的CLI工具,利用Linux核心功能来创建和运行容器。此漏洞由于runc内部处理文件描述符不当,导致宿主机的关键文件描述符泄漏到容器中。攻击方式包括恶意容器利用文件描述符泄漏访问宿主文件系统、通过符号链接绕过保护机制、以及覆盖主机二进制文件以获取主机访问权限。
漏洞演示
演示基于卡瓦邦噶的文章,需要准备一个安装了指定依赖的VM,并替换runc到旧版本。演示通过创建特定Dockerfile,编译并运行镜像,多次尝试后可能成功逃逸。逃逸后可以通过改变文件系统根目录,进而访问宿主机的所有进程和容器。
漏洞修复
官方已经发布了更新版本runc >= 1.1.12来修复此漏洞。咸鱼提供了在CentOS 7系统上进行修复的步骤,包括检查当前版本、下载最新版runc、备份原有runc、更新新版runc以及重启docker服务确认更新成功。
想要了解更多内容?
文章来源:
咸鱼运维杂谈
扫码关注公众号
咸鱼运维杂谈的其他文章
加入社区微信群
与行业大咖零距离交流学习
软件研发质量管理体系建设
白皮书上线