runc 文件描述符泄漏导致容器逃逸漏洞（CVE-2024-21626）如何修复？

runc 文件描述符泄漏导致容器逃逸漏洞（CVE-2024-21626）修复方案
针对 runc 文件描述符泄漏导致的容器逃逸漏洞（CVE-2024-21626），请遵循以下逻辑层次分明、关键元素凸显的修复步骤进行处理：

1.确认受影响范围：

• runc版本影响范围：确认您的 runc 版本是否处于受影响范围之内，即版本号在 ≥1.1.0 且 ≤1.1.11 之间。
• ACK集群影响范围：检查您的阿里云容器服务（ACK）集群是否使用了 containerd 运行时，且版本为 1.5.13 或 1.6.20。其他版本或使用 Docker 运行时的集群不受此漏洞影响。

2.集群节点运行时升级：

• 存量ACK集群节点：对于受影响范围内的存量ACK集群节点，请参照 containerd运行时发布记录（此处应为纯文本描述，实际回答中请勿使用超链接），及时将集群运行时更新至已修复漏洞的版本。具体操作步骤请参见 节点池升级 文档。

3.强化容器安全策略：

• 限制镜像来源：使用 ACKAllowedRepos策略 限制只使用可信仓库来源的镜像，确保供应链安全。
• 权限控制：基于最小化权限原则，确保只有可信人员具有导入镜像的权限。
• 镜像加签与验证：启用 容器镜像加签 功能，并结合 kritis-validation-hook组件 实现自动验证容器镜像签名，确保部署容器应用镜像的安全完整性。

4.ACK Edge集群特殊处理： 如果您的集群类型为 ACK Edge 集群，修复方案请参见 CVE-2024-21626修复方案 文档。

5.回滚方案准备： 在执行修复操作前，为应对可能出现的不符合预期的情况，提前准备回滚方案。在节点上执行以下命令备份当前 runc 版本，并在需要时进行回滚： bash runc_path=$(command -v runc) cp -f ${runc_path} ${runc_path}_bak 若需要回滚，执行： bash cp -f ${runc_path}_bak ${runc_path}

遵循以上步骤，您将能够有效地修复 runc 文件描述符泄漏导致的容器逃逸漏洞（CVE-2024-21626），保障您的容器环境安全。