用户指南

最佳实践

API 文档

Runc 漏洞(CVE-2021-30465)修复说明

最近更新时间:2022-04-02 15:20:06

漏洞详情

组件:runc
漏洞名称:runc 路径遍历漏洞
CVE 编号:CVE-2021-30465
修复策略:将 runc 升级到 1.0.0-rc95 及以上版本。

修复进展

  1. TKE 在2021年9月对增量节点完成了该漏洞修复。
  2. 对于存量节点,为避免影响业务稳定运行,用户可参考如下升级脚本,选择业务低峰期进行修复。
    说明:

    升级 runc 组件不会重启业务 Pod。

    #!/bin/bash
    
    util::is_docker() {
        if command -v docker 1>/dev/null 2>&1; then
            RUNTIME="docker"
            return 0
        else
            return 1
        fi
    }
    
    wget http://static.ccs.tencentyun.com/docker-19.03.9-install-1.2.tgz
    
    tar -zxf docker-19.03.9-install-1.2.tgz
    
    if ! docker-19.03/bin/runc --version; then 
        echo "unmatch libseccomp version"
        # Get OS distribution
        OS_RELEASE="$(. /etc/os-release && echo "$ID")"
        OS_VERSION="$(. /etc/os-release && echo "$VERSION_ID")"
    
        if [ "ubuntu" = "${OS_RELEASE}" ]; then
            apt-get install libseccomp2
        else 
            yum install -y libseccomp
        fi
    fi
    
    if ! docker-19.03/bin/runc --version; then 
        echo "bad libseccomp version"
        exit 1;
    fi
    
    if util::is_docker; then
        cp docker-19.03/bin/runc /usr/bin/docker-runc
        cp docker-19.03/bin/runc /usr/bin/runc
    else
        cp docker-19.03/bin/runc /usr/local/sbin/runc
    fi
    
    rm -r    docker-19.03
    rm       docker-19.03.9-install-1.2.tgz
    
目录