安全验证 | Runc CVE-2024-21626 容器逃逸漏洞预警

漏洞描述

2024年1月31号，runc官方发布安全通告（https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv ），披漏了其存在容器逃逸的漏洞，漏洞编号CVE-2024-21626。

影响版本

v1.0.0-rc93 ~ 1.1.11

解决方案

1.当前runc官方已发布修复版本，建议升级至1.1.12版本

（https://github.com/opencontainers/runc/releases/tag/v1.1.12）

2.对于腾讯云TKE容器服务：

（1）针对2024年2月3日之后创建的新增 TKE 集群和节点不受该漏洞影响。（2）针对存量节点，可通过在机器上执行以下命令进行修复或进行节点替换：

wget http://static.ccs.tencentyun.com/fix-cve-2024-21626.tar.gz && tar -zxf fix-cve-2024-21626.tar.gz && fix-cve-2024-21626/runc-v1.1.12.sh

3.如无法升级到修复版本，短期内可以采用以下最佳实践来降低风险：

（1）不使用非受信的镜像，包括作为基础镜像；

（2）增强容器间的隔离，增强运行时安全检测能力，进而减轻漏洞的影响；

安全验证规则

runc作为容器运行时的重要支撑组件，广泛与多种容器工具和平台集成使用，该漏洞几乎影响runc的所有历史版本，范围很广。

在漏洞披露之后，腾讯安全BAS团队第一时间对该漏洞进行分析研判，并通过腾讯安全验证服务（BAS）实现漏洞验证的支持，帮助容器用户快速识别安全风险，确认防御措施的有效性。

除此之外，腾讯安全验证服务（BAS）还支持包括运行时安全、配置安全、网络安全等多种容器安全的有效性验证。

关于安全验证服务（BAS）

腾讯安全验证服务（BAS）提供自动化的安全防御有效性验证，是腾讯安全服务体系里的一项关键能力。能够帮助企业持续评估安全防御体系，发现防御弱点，优化策略配置，规划安全投入，提升安全水位。

目前已服务金融、交通、制造、互联网等多个行业用户。更多内容，可点击链接了解详情：https://cloud.tencent.com/product/bas。