RHSB-2024-001 Leaky Vessels - runc - (CVE-2024-21626)
执行摘要
红帽已了解到,在核心容器基础架构组件 'runc' 中存在一个安全漏洞,可能会导致容器溢出的问题。攻击者可以利用这些容器溢出,从容器内部获取未经授权的、对底层主机操作系统的访问权限。攻击者可以使用几种不同的方法,利用此漏洞进行安全攻击。攻击者可以诱骗用户来使用或构建一个恶意的镜像,或者在容器中使用一个可能会被 'runc exec' 执行的恶意进程。
这个问题已被记录为 CVE-2024-21626,其严重性级别被定为 Important(重要)。
以下红帽产品版本会受到直接影响:
Red Hat OpenShift Container Platform 4
Red Hat OpenShift Container Platform 3.11
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 8
Red Hat Enterprise Linux 9
此外,在 Red Hat Enterprise Linux (包括 RHEL CoreOS)上支持的任何红帽产品也都潜在存在受到此安全漏洞影响的可能。
这包括以下产品:
基于 RHEL 或 UBI 容器镜像的产品容器。这些镜像会定期更新,在容器健康索引部分(它是 Red Hat Container Catalog 的一部分)包括了是否存在针对这个安全漏洞的修复的信息。此外,在基础镜像被更新后,任何客户容器都应重新构建。
需要从 RHEL 频道拉取软件包的产品,包括如 Red Hat OpenShift Container Platform、Red Hat OpenStack Platform、Red Hat Virtualization 等产品。
请确保这些产品环境中底层的 RHEL 'runc' 软件包是最新的。
另外,相关的安全漏洞 CVE-2024-23651、CVE-2024-23652 和 CVE-2024-23653 也存在于 moby buildkit 中,红帽产品安全团队正在对这个问题进行调查。
技术概述
在评估 'Dockerfile' 中的 'WORKDIR' 和 'RUN' 指令时,'runc' 易受到文件描述符泄露(File Descriptor Leak)攻击和后续的路径遍历(Path Traversal)攻击。由于对提供的路径的控制较弱,容器可以被绑定到主机系统上的其他目录,进而可以访问主机系统上的其他资源。
缓解方案
Red Hat Enterprise Linux (RHEL) 和 OpenShift 提供的 SELinux 可以以 enforcing 的模式运行,这可以防止容器进程访问主机上的内容,从而可以缓解利用这个漏洞进行的攻击。检查 Dockerfiles 的 'RUN' 和 'WORKDIR' 指令,以确保没有可能会被攻击者利用的溢出或恶意路径。限制访问,并只使用可信任的容器镜像。这有助于防止未经授权的访问和恶意攻击。
技术细节
这个漏洞来自于 'runc' 在 Dockerfile 中处理 'WORKDIR' 指令的过程。当为 'build' 或 'RUN' 操作期间创建的进程指定初始工作目录时,'runc' 会在关闭某些特权主机目录文件描述符前,使用 'rchdir' 更改目录。因为这一行为,攻击者可以操纵 'WORKDIR' 指令,并可能会通过 '/proc/self/fd/' 目录指定一个特权文件描述符。因此,即使 'runc' 在正常操作过程中关闭了文件描述符,但它仍然可以被访问。这可能会导致对敏感的主机文件的未经授权的访问,并在主机文件系统中创建任意文件。处理 "WORKDIR" 的这个方式存在一个显著的安全风险,可能会影响容器的正常工作,并对主机操纵系统造成潜在威胁。
受影响产品的更新
我们强烈建议,所有运行受影响版本的红帽产品的用户,在相关勘误可用后尽快进行更新。用户应在相关更新可用后立即进行更新,并采取相关的缓解措施。
产品 | 组件 | 公告/更新 [1] |
Red Hat Enterprise Linux 7 | runc | 待定 |
Red Hat Enterprise Linux 8 | container-tools:4.0/runc | 待定 |
container-tools:rhel8/runc | 待定 | |
Red Hat Enterprise Linux 9 | runc | RHSA-2024:0670 |
Red Hat OpenShift Container Platform 4 | runc | 待定 |
Red Hat OpenShift Container Platform 3.11 | runc | 待定 |
[1] 在更新发布后,将添加相关的公告/更新链接。
参考信息
https://thehackernews.com/2024/02/runc-flaws-enable-container-escapes.html
https://aws.amazon.com/security/security-bulletins/AWS-2024-001/
https://cloud.google.com/anthos/clusters/docs/security-bulletins#gcp-2024-005-gke
https://snyk.io/blog/leaky-vessels-docker-runc-container-breakout-vulnerabilities/
Comments