容器服务 Runc 漏洞（CVE-2021-30465）修复说明

漏洞详情
组件：runc
漏洞名称：runc 路径遍历漏洞
CVE 编号：CVE-2021-30465
修复策略：将 runc 升级到 1.0.0-rc95 及以上版本。
修复进展
1. TKE 在2021年9月对增量节点完成了该漏洞修复。
2. 对于存量节点，为避免影响业务稳定运行，用户可参考如下升级脚本，选择业务低峰期进行修复。
说明：
升级 runc 组件不会重启业务 Pod。
#!/bin/bash
﻿
set -ex
﻿
util::is_docker() {
 if command -v docker 1>/dev/null 2>&1; then
     RUNTIME="docker"
     return 0
 else
     return 1
 fi
}
﻿
wget "http://static.ccs.tencentyun.com/docker-19.3.9-tke.1-b534958-amd64.tar.gz"
﻿
mkdir -p /root/docker19
tar -zxf "docker-19.3.9-tke.1-b534958-amd64.tar.gz" -C "/root/docker19"
﻿
﻿
if ! /root/docker19/bin/runc --version; then
 echo "unmatch libseccomp version"
 # Get OS distribution
 OS_RELEASE="$(. /etc/os-release && echo "$ID")"
 OS_VERSION="$(. /etc/os-release && echo "$VERSION_ID")"
﻿
 if [ "ubuntu" = "${OS_RELEASE}" ]; then
     apt-get install libseccomp2
 else
     yum install -y libseccomp
 fi
fi
﻿
if ! /root/docker19/bin/runc --version; then
 echo "bad libseccomp version"
 exit 1;
fi
﻿
if util::is_docker; then
 cp /root/docker19/bin/runc /usr/bin/docker-runc
 cp /root/docker19/bin/runc /usr/bin/runc
else
 cp /root/docker19/bin/runc /usr/local/sbin/runc
fi
﻿
rm -r    /root/docker19
rm       docker-19.3.9-tke.1-b534958-amd64.tar.gz
﻿
Runc 漏洞（CVE-2021-30465）修复说明

本页目录：

漏洞详情

修复进展
