| 漏洞类型 | 将资源暴露给错误范围 | 发现时间 | 2024-02-01 | 漏洞等级 | 高危 |
| MPS编号 | MPS-ngf4-bql2 | CVE编号 | CVE-2024-21626 | 漏洞影响广度 | 广 |
漏洞危害
| OSCS 描述 |
| runc是根据OCI规范在Linux上生成和运行容器的命令行工具。 在 runc 受影响版本中,由于在初始化过程中泄露了部分内部文件描述符,包括对宿主的 /sys/fs/cgroup 的句柄,同时 runc 未验证最终工作目录是否位于容器的挂载命名空间。攻击者可以修改 process.cwd 配置为 /proc/self/fd/7或者将宿主机调用runc exec时–cwd参数中传入的特定路径替换为/proc/self/fd/7/符号链接,进而让容器内的进程能够访问和操作宿主机的文件系统,从而绕过了容器的隔离机制。 参考链接:https://www.oscs1024.com/hd/MPS-ngf4-bql2 |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| runc [1.0.0-rc93, 1.1.12) | 升级 | 将组件 runc 升级至 1.1.12 及以上版本 |
| github.com/opencontainers/runc [1.0.0-rc93, 1.1.12) | 升级 | 将 github.com/opencontainers/runc 升级至 1.1.12 及以上版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-ngf4-bql2 | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-ngf4-bql2
https://nvd.nist.gov/vuln/detail/CVE-2024-21626
https://github.com/opencontainers/runc/commit/02120488a4c0fc487d1ed2867e901eeed7ce8ecf
https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv
