与runc相关的“Leaky Vessels”威胁容器安全
💡
原文英文,约1800词,阅读约需7分钟。
📝
内容提要
Synk发现了Kubernetes和Docker容器中的四个漏洞,称为“Leaky Vessels”,对容器化环境构成高威胁。漏洞存在于runc中,容器逃逸,允许攻击者在主机上执行恶意代码。建议升级runc和Docker版本,使用可信的镜像降低风险。
🎯
关键要点
- Synk发现了Kubernetes和Docker容器中的四个漏洞,称为“Leaky Vessels”,对容器化环境构成高威胁。
- 漏洞包括CVE-2024-21626、CVE-2024-23651、CVE-2024-23652和CVE-2024-23653,CVSS评分分别为8.6、8.7、10和9.8。
- 这些漏洞存在于runc中,允许攻击者在主机上执行恶意代码,可能导致容器逃逸和系统整体被攻陷。
- CVE-2024-21626允许未经授权的用户访问主机操作系统的文件系统,风险可通过使用可信的预构建镜像来降低。
- CVE-2024-23651源于Docker版本低于23.0.1的符号链接竞争条件,攻击者可通过此漏洞访问主机文件。
- CVE-2024-23652允许攻击者在构建镜像阶段访问和操作临时目录,可能导致敏感数据被删除。
- CVE-2024-23653涉及Buildkit的权限检查不当,攻击者可利用此漏洞实现容器逃逸。
- 建议将runc升级到1.1.12或更高版本,Docker升级到23.0.1或更高版本,Buildkit升级到0.12.5或更高版本以修复漏洞。
- 除了打补丁,使用先进的云安全解决方案如AccuKnox Zero Trust可以提供额外保护,防止漏洞被利用。
- AccuKnox Zero Trust Cloud Security通过自动生成的策略实现最小权限,保护应用程序免受潜在威胁。
➡️
