云小课｜Runc容器逃逸漏洞（CVE-2024-21626）安全风险通告

阅识风云是华为云信息大咖，擅长将复杂信息多元化呈现，其出品的一张图(云图说)、深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处。

 

runc官方发布安全公告，披露runc 1.1.11及更早版本中存在容器逃逸漏洞，攻击者会利用该漏洞导致容器逃逸，进一步获取宿主机权限。

本文分享自华为云社区《云小课｜Runc容器逃逸漏洞（CVE-2024-21626）安全风险通告》，作者：阅识风云。

近日，华为云主机安全服务团队关注到runc官方发布安全公告，披露runc 1.1.11及更早版本中存在容器逃逸漏洞，攻击者会利用该漏洞导致容器逃逸，进一步获取宿主机权限。

runc官方公告详情参考：https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv

runc官方已发布安全更新修复该漏洞，建议用户及时进行安全自检并做好安全加固以降低被攻击的风险。

一、漏洞情况分析

1. 什么是runc？

runc是一个根据OCI（Open Container Initiative）标准创建并运行容器的CLI tool，目前Docker、Containerd、CRI-O和Podman等容器都运行在runc之上。

2. runc容器逃逸漏洞详情

3. runc容器逃逸漏洞复现情况

目前，华为云主机安全服务团队已在Docker容器环境下成功复现runc容器逃逸漏洞（CVE-2024-21626），配置特殊workdir路径后，在容器内可读取到宿主机文件内容，复现情况如下图所示：

二、漏洞影响范围

1.0.0-rc93＜＝runc＜＝1.1.11

三、漏洞处置建议

1. 安全更新

目前runc官方已发布补丁版本，建议用户升级到最新版本(1.1.12)。

runc官方链接：https://github.com/opencontainers/runc/releases

2. 华为云主机安全服务（HSS）解决方案

·风险预防

HSS应急漏洞扫描功能已支持runc容器逃逸漏洞检测，并能有效检测当前主机是否存在容器逃逸利用的风险。

a. 登录HSS服务控制台。

b. 在左侧导航栏，选择“风险预防>漏洞管理”，进入漏洞管理界面。

c. 选择“漏洞视图>应急漏洞”页签。

d. 在runc容器逃逸漏洞所在行的操作列，单击“立即扫描”，执行漏洞扫描。

e. 扫描完成后，单击漏洞名称查看检测结果。相关检测结果如下图所示：

·入侵检测

HSS已更新HIPS相关实时告警检测规则，在检测到漏洞利用后会进行告警。

a. 登录HSS服务控制台。

b. 在左侧导航栏，选择“入侵检测>安全告警事件”，进入安全告警事件界面。

c. 选择“主机安全告警”页签。

d. 在待处理告警栏，选择“系统异常行为>文件提权”，查看workdir参数进行容器逃逸的告警，相关告警如下图所示：

赶紧戳这里，体验华为云主机安全服务漏洞处置能力！

 

点击关注，第一时间了解华为云新鲜技术~