开发者社区> 问答> 正文

runc 文件描述符泄漏导致容器逃逸漏洞(CVE-2024-21626)如何修复?

runc 文件描述符泄漏导致容器逃逸漏洞(CVE-2024-21626)如何修复?

展开
收起
提问的橘子 2024-08-01 15:15:58 89 0
1 条回答
写回答
取消 提交回答
  • runc 文件描述符泄漏导致容器逃逸漏洞(CVE-2024-21626)修复方案
    针对 runc 文件描述符泄漏导致的容器逃逸漏洞(CVE-2024-21626),请遵循以下逻辑层次分明、关键元素凸显的修复步骤进行处理:

    1.确认受影响范围

    • runc版本影响范围:确认您的 runc 版本是否处于受影响范围之内,即版本号在 ≥1.1.0 且 ≤1.1.11 之间。
    • ACK集群影响范围:检查您的阿里云容器服务(ACK)集群是否使用了 containerd 运行时,且版本为 1.5.13 或 1.6.20。其他版本或使用 Docker 运行时的集群不受此漏洞影响。

    2.集群节点运行时升级

    • 存量ACK集群节点:对于受影响范围内的存量ACK集群节点,请参照 containerd运行时发布记录(此处应为纯文本描述,实际回答中请勿使用超链接),及时将集群运行时更新至已修复漏洞的版本。具体操作步骤请参见 节点池升级 文档。

    3.强化容器安全策略

    • 限制镜像来源:使用 ACKAllowedRepos策略 限制只使用可信仓库来源的镜像,确保供应链安全。
    • 权限控制:基于最小化权限原则,确保只有可信人员具有导入镜像的权限。
    • 镜像加签与验证:启用 容器镜像加签 功能,并结合 kritis-validation-hook组件 实现自动验证容器镜像签名,确保部署容器应用镜像的安全完整性。

    4.ACK Edge集群特殊处理: 如果您的集群类型为 ACK Edge 集群,修复方案请参见 CVE-2024-21626修复方案 文档。

    5.回滚方案准备: 在执行修复操作前,为应对可能出现的不符合预期的情况,提前准备回滚方案。在节点上执行以下命令备份当前 runc 版本,并在需要时进行回滚: bash runc_path=$(command -v runc) cp -f ${runc_path} ${runc_path}_bak 若需要回滚,执行: bash cp -f ${runc_path}_bak ${runc_path}

    遵循以上步骤,您将能够有效地修复 runc 文件描述符泄漏导致的容器逃逸漏洞(CVE-2024-21626),保障您的容器环境安全。

    2024-08-01 15:55:41
    赞同 3 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
阿里云文件存储 NAS 在容器场景的最佳实践 立即下载
何种数据存储才能助力容器计算 立即下载
《容器网络文件系统CNFS》 立即下载