runc 文件描述符泄漏导致容器逃逸漏洞（CVE-2024-21626）

最新推荐文章于 2025-04-16 09:33:00 发布

小小的木头人

最新推荐文章于 2025-04-16 09:33:00 发布

阅读量998

点赞数 4

文章标签： linux

本文链接：https://blog.youkuaiyun.com/qq_15603633/article/details/138564086

版权

阿里云安全公告

阿里云产品关于 runc的安全问题（CVE-2024-21626）影响声明

升级 runc

升级runc版本号 >= 1.1.12

查看runc 当前版本号

root@####:~# runc --version
runc version 1.1.9
commit: v1.1.9-0-gccaecfc
spec: 1.0.2-dev
go: go1.20.8
libseccomp: 2.5.3

手动升级runc到 1.1.12

cd /usr/bin/
wget https://github.com/opencontainers/runc/releases/download/v1.1.12/runc.amd64
mv runc runc.bak
mv runc.amd64 runc
chmod +x runc

查看runc 升级后的版本号

root@###:/usr/bin# runc --version
runc version 1.1.12
commit: v1.1.12-0-g51d5e946
spec: 1.0.2-dev
go: go1.20.13
libseccomp: 2.5.4

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

小小的木头人

关注关注

4
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

CVE-2024-21626 容器逃逸漏洞+修复方式

xdxghy0921

02-08

5514

CVE-2024-21626处理方案

【CVE-2024-1086】（全网最完整分析）对 nf_tables 中新 Linux 漏洞的分析以及强化的利用技术

weixin_47075747的博客

12-23

268

在这篇博文中，我介绍了几种新技术，我曾用它们来利用强化 Linux 内核（即 KernelCTF 缓解实例）中的 0-day 双重释放漏洞，成功率为 93%-99%。底层漏洞是 netfilter 判定的输入清理失败。因此，利用该漏洞的条件是启用 nf_tables 并启用非特权用户命名空间。该漏洞仅针对数据，并使用新颖的 Dirty Pagedirectory 技术（页表混淆）从用户空间执行内核空间镜像攻击 (KSMA)，其中它能够通过仅对。

参与评论您还未登录，请先登录后发表或查看评论

【Linux】修复 runc 文件描述符泄漏导致容器逃逸漏洞(CVE-2024-21626)

weixin_47610533的博客

07-17

1480

在runc 1.1.11 及之前的版本中，由于内部文件描述符泄露的问题，攻击者可以让新生成的容器进程在宿主文件系统命名空间中拥有工作目录，从而允许通过访问宿主文件系统实现容器逃逸等用需要具体的环境，例如允许攻击者提供自定义镜像等。官方已于2024年2月1日发布安全更新，建议相关受影响用户升级。

CVE-2024-21626漏洞

热门推荐

sara的博客

04-20

2万+

以下所有漏洞均为Centos7的系统漏洞修复，为离线内网环境；某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】详细描述 Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的LINUX机器上，也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具，使用标准的Docker API，能够方便docker集.

buuctf.web 32-64

m0_73889365的博客

02-18

896

buuctf.web 刷题

【NVIDIA-Docker2安全性分析】：防范潜在安全威胁的专业见解

NVIDIA-Docker2技术作为容器化领域的前沿工具，融合了GPU加速和容器化优势，为深度学习和高性能计算提供了强大的支持。本文全面介绍了NVIDIA-Docker2的技术概览，并深入探讨了其安全基础，包括容器化技术与虚拟化的...

【严重】runc 文件描述符泄漏漏洞（CVE-2024-21626）修复

一掬净土

02-12

565

CVE-2024-21626 是一个需要高度重视的容器逃逸漏洞。建议及时优化容器配置，并启用安全特性以防止攻击。同时，定期检查系统安全状态，确保容器环境的安全性。

runc容器逃逸漏洞最强后续：应对之策汇总与热点疑问解答

weixin_34148508的博客

02-15

191

美国时间2019年2月11日晚，runc通过oss-security邮件列表披露了runc容器逃逸漏洞CVE-2019-5736的详情。runc是Docker、CRI-O、Containerd、Kubernetes等底层的容器运行时，此次安全漏洞无可避免地会影响大多数Docker与Kubernetes用户，也因此为整个业界高度关注。漏洞...

新近爆出的runC容器逃逸漏洞，用户如何面对？

weixin_33912445的博客

02-13

283

runC是一个根据OCI（Open Container Initiative）标准创建并运行容器的CLI工具，目前Docker引擎内部也是基于runc构建的。 2019年2月11日，研究人员通过oss-security邮件列表（https://www.openwall.com/list... ）披露了runc容器逃逸漏洞的详情，根据Ope...

修复runc 文件描述符泄漏漏洞（CVE-2024-21626）后docker消失问题

Mia_aia的博客

09-29

1161

最近在工作中，应用部署的服务器被扫描处 runc 文件描述符泄漏漏洞（CVE-2024-21626），由于漏洞报文较新，便去搜索了相关修复方法，可采用runc升级的方法去修复该漏洞。具体描述如下：在runc 1.1.11 及之前的版本中，由于内部文件描述符泄露的问题，攻击者可以让新生成的容器进程在宿主文件系统命名空间中拥有工作目录，从而允许通过访问宿主文件系统实现容器逃逸等用需要具体的环境，例如允许攻击者提供自定义镜像等。官方已于2024年2月1日发布安全更新，建议相关受影响用户升级。

云小课｜Runc容器逃逸漏洞（CVE-2024-21626）安全风险通告

华为云官方博客

02-04

2255

runc官方发布安全公告，披露runc 1.1.11及更早版本中存在容器逃逸漏洞，攻击者会利用该漏洞导致容器逃逸，进一步获取宿主机权限。

Docker容器逃逸漏洞-CVE-2024-21626

墨痕诉清风的博客

07-23

702

Snyk 在 Docker 引擎以及其他容器化技术（例如 Kubernetes）使用的 runc <=1.1.11 的所有版本中发现了一个漏洞。利用此问题可能会导致容器逃逸到底层主机操作系统，无论是通过执行恶意映像还是使用恶意 Dockerfile 或上游映像构建映像（即使用时FROM）

runc 文件描述符泄漏漏洞（CVE-2024-21626）

云深海阔专栏

02-20

1041

将我们runc的版本升级到1.1.12。2、下载最新的runc二进制文件。3、查看最新的runc版本号。1、查看现有的版本号。

[漏洞修复]Docker runc容器逃逸漏洞(CVE-2021-30465)

水布天

04-11

3483

runc存在容器逃逸漏洞，该漏洞是由于挂载卷时，runc不信任目标参数，并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中，但是如果用符号链接替换检查的目标文件时，可以将主机文件挂载到容器中。runc是一个轻量级通用容器运行环境，它允许一个简化的探针到运行和调试的底层容器的功能，不需要整个docker守护进程的接口。如果采取替换runc二进制文件进行漏洞修复，针对不同的操作系统发行版，需要替换对应操作系统发行版提供的runc二进制文件。