runc 文件描述符泄漏漏洞（CVE-2024-21626）

admin

0
文章

0
评论

2024-02-04 09:40:57 Ali_highrisk 来源：ZONE.CI 全球网 0 阅读模式

高危 runc 文件描述符泄漏漏洞（CVE-2024-21626）

CVE编号

CVE-2024-21626

利用情况

暂无

补丁情况

官方补丁

披露时间

2024-02-01

漏洞描述

在 runc 1.1.11 及之前的版本中，由于内部文件描述符泄露的问题，攻击者可以让新生成的容器进程在宿主文件系统命名空间中拥有工作目录，从而允许通过访问宿主文件系统实现容器逃逸等。官方已于2024年2月1日发布安全更新，建议相关受影响用户升级。阿里云产品关于 runc的安全问题（CVE-2024-21626）影响声明 https://help.aliyun.com/noticelist/articleid/1069353299.html 影响范围 1.0.0-rc93 <= runc <= 1.1.11 安全版本 runc 1.1.12

解决建议

官方已于2024年2月1日发布安全更新，建议相关受影响用户升级。

参考链接
http://www.openwall.com/lists/oss-security/2024/02/01/1
http://www.openwall.com/lists/oss-security/2024/02/02/3
https://github.com/opencontainers/runc/commit/02120488a4c0fc487d1ed2867e901ee...
https://github.com/opencontainers/runc/releases/tag/v1.1.12
https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv
https://help.aliyun.com/noticelist/articleid/1069353299.html
https://help.aliyun.com/zh/ack/product-overview/vulnerability-cve-2024-21626-bulletin

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	alpine_3.18	runc	*		Up to (excluding) 1.1.12-r0
	运行在以下环境
	系统	alpine_3.19	runc	*		Up to (excluding) 1.1.12-r0
	运行在以下环境
	系统	amazon_2	runc	*		Up to (excluding) 1.1.11-1.amzn2
	运行在以下环境
	系统	amazon_2	runc	*		Up to (excluding) 1.1.11-1.amzn2
	运行在以下环境
	系统	amazon_2023	runc	*		Up to (excluding) 1.1.11-1.amzn2023.0.1
	运行在以下环境
	系统	amazon_2023	runc	*		Up to (excluding) 1.1.11-1.amzn2023.0.1
	运行在以下环境
	系统	amazon_AMI	runc	*		Up to (excluding) 1.1.11-1.1.amzn1
	运行在以下环境
	系统	fedora_38	runc	*		Up to (excluding) 1.1.12-1.fc38
	运行在以下环境
	系统	fedora_39	runc	*		Up to (excluding) 1.1.12-1.fc39
	运行在以下环境
	系统	opensuse_5.3	runc	*		Up to (excluding) 1.1.11-150000.58.1
	运行在以下环境
	系统	opensuse_5.4	runc	*		Up to (excluding) 1.1.11-150000.58.1
	运行在以下环境
	系统	opensuse_Leap_15.5	runc	*		Up to (excluding) 1.1.11-150000.58.1
	运行在以下环境
	系统	ubuntu_20.04	runc	*		Up to (excluding) 1.1.7-0ubuntu1~20.04.2
	运行在以下环境
	系统	ubuntu_22.04	runc	*		Up to (excluding) 1.1.7-0ubuntu1~22.04.2