RHSB-2024-001 Leaky Vessels - runc - (CVE-2024-21626)

Public Date: February 7, 2024, 00:52
已更新 February 9, 2024, 11:00 - English(英语) Japanese Korean
Resolved 状态
Important Impact

Insights vulnerability analysis

View exposed systems

红帽已了解到,在核心容器基础架构组件 'runc' 中存在一个安全漏洞,可能会导致容器溢出的问题。攻击者可以利用这些容器溢出,从容器内部获取未经授权的、对底层主机操作系统的访问权限。攻击者可以使用几种不同的方法,利用此漏洞进行安全攻击。攻击者可以诱骗用户来使用或构建一个恶意的镜像,或者在容器中使用一个可能会被 'runc exec' 执行的恶意进程。

这个问题已被记录为 CVE-2024-21626,其严重性级别被定为 Important(重要)。 

以下红帽产品版本会受到直接影响:

  • Red Hat OpenShift Container Platform 4

  • Red Hat OpenShift Container Platform 3.11 

  • Red Hat Enterprise Linux 7

  • Red Hat Enterprise Linux 8 

  • Red Hat Enterprise Linux 9

此外,在 Red Hat Enterprise Linux (包括 RHEL CoreOS)上支持的任何红帽产品也都潜在存在受到此安全漏洞影响的可能。 

这包括以下产品: 

  • 基于 RHEL 或 UBI 容器镜像的产品容器。这些镜像会定期更新,在容器健康索引部分(它是 Red Hat Container Catalog 的一部分)包括了是否存在针对这个安全漏洞的修复的信息。此外,在基础镜像被更新后,任何客户容器都应重新构建。

  • 需要从 RHEL 频道拉取软件包的产品,包括如 Red Hat OpenShift Container Platform、Red Hat OpenStack Platform、Red Hat Virtualization 等产品。

请确保这些产品环境中底层的 RHEL 'runc' 软件包是最新的。

另外,相关的安全漏洞 CVE-2024-23651、CVE-2024-23652 和 CVE-2024-23653 也存在于 moby buildkit 中,红帽产品安全团队正在对这个问题进行调查。

在评估 'Dockerfile' 中的 'WORKDIR' 和 'RUN' 指令时,'runc' 易受到文件描述符泄露(File Descriptor Leak)攻击和后续的路径遍历(Path Traversal)攻击。由于对提供的路径的控制较弱,容器可以被绑定到主机系统上的其他目录,进而可以访问主机系统上的其他资源。

Red Hat Enterprise Linux (RHEL) 和 OpenShift 提供的 SELinux 可以以 enforcing 的模式运行,这可以防止容器进程访问主机上的内容,从而可以缓解利用这个漏洞进行的攻击。检查 Dockerfiles 的 'RUN' 和 'WORKDIR' 指令,以确保没有可能会被攻击者利用的溢出或恶意路径。限制访问,并只使用可信任的容器镜像。这有助于防止未经授权的访问和恶意攻击。

这个漏洞来自于 'runc' 在 Dockerfile 中处理 'WORKDIR' 指令的过程。当为 'build' 或 'RUN' 操作期间创建的进程指定初始工作目录时,'runc' 会在关闭某些特权主机目录文件描述符前,使用 'rchdir' 更改目录。因为这一行为,攻击者可以操纵 'WORKDIR' 指令,并可能会通过 '/proc/self/fd/' 目录指定一个特权文件描述符。因此,即使 'runc' 在正常操作过程中关闭了文件描述符,但它仍然可以被访问。这可能会导致对敏感的主机文件的未经授权的访问,并在主机文件系统中创建任意文件。处理 "WORKDIR" 的这个方式存在一个显著的安全风险,可能会影响容器的正常工作,并对主机操纵系统造成潜在威胁。

我们强烈建议,所有运行受影响版本的红帽产品的用户,在相关勘误可用后尽快进行更新。用户应在相关更新可用后立即进行更新,并采取相关的缓解措施。  

产品

组件

公告/更新 [1]

Red Hat Enterprise Linux 7 

runc

待定

Red Hat Enterprise Linux 8

container-tools:4.0/runc

待定

container-tools:rhel8/runc

待定

Red Hat Enterprise Linux 9

runc

RHSA-2024:0670



Red Hat OpenShift Container Platform 4

runc

待定

Red Hat OpenShift Container Platform 3.11

runc

待定



[1] 在更新发布后,将添加相关的公告/更新链接。





Comments