漏洞详情
组件:runc
漏洞名称:runc 容器逃逸漏洞
CVE 编号:CVE-2024-21626
影响内容:该漏洞可能会破坏容器和主机操作系统之间的隔离层,攻击者可越权访问宿主机文件或执行二进制程序,详情请参见 社区说明 和 修复建议。
影响范围
运行时引擎使用 runc 版本在1.0.0-rc.93至1.1.11之间。
注意:
初步验证利用该漏洞需要内核支持 openat2 系统调用 (kernel version >=5.6),目前发现 TKE 受影响的节点操作系统发行版包括 Ubuntu 22.04 LTS 和 Red Hat Enterprise Linux 8.6,其他操作系统发行版尚未复现该漏洞,我们的平台正在持续跟进中。
修复方式
1. 针对2024年2月3日之后创建的新增 TKE 集群和节点不受该漏洞影响。
2. 针对存量节点,您可通过在机器上执行以下命令进行修复或进行节点替换:
wget http://static.ccs.tencentyun.com/fix-cve-2024-21626.tar.gz && tar -zxf fix-cve-2024-21626.tar.gz && fix-cve-2024-21626/runc-v1.1.12.sh