近日，金山云安全应急响应中心监测到，runc官方发布安全通告修复了runc容器逃逸漏洞。

由于runc存在内部文件描述符泄露，本地攻击者可以通过多种方式进行容器逃逸。漏洞编号为CVE-2024-21626。

漏洞详情

runc是根据OCI规范在Linux上生成和运行容器的命令行工具。

在 runc 受影响版本中，由于在初始化过程中泄露了部分内部文件描述符，包括对宿主的 /sys/fs/cgroup 的句柄，

同时 runc 未验证最终工作目录是否位于容器的挂载命名空间。攻击者可以修改 process.cwd 配置为 /proc/self/fd/7或者将宿主机调用runc exec时--cwd参数中传入的特定路径替换为/proc/self/fd/7/符号链接，

进而让容器内的进程能够访问和操作宿主机的文件系统，从而绕过了容器的隔离机制。

影响范围

v1.0.0-rc93 <= runc <= 1.1.11

修复建议

目前官方已有可更新版本，建议受影响用户参考以下链接升级至最新版本：

runc >= 1.1.12

提示：修复漏洞前请将资料备份，并进行充分测试。

参考链接

https://github.com/opencontainers/runc/releases/tag/v1.1.12

https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv