与runc相关的“Leaky Vessels”威胁容器安全
内容提要
Synk发现了Kubernetes和Docker容器中的四个漏洞,称为“Leaky Vessels”,对容器化环境构成高威胁。漏洞存在于runc中,容器逃逸,允许攻击者在主机上执行恶意代码。建议升级runc和Docker版本,使用可信的镜像降低风险。
关键要点
-
Synk发现了Kubernetes和Docker容器中的四个漏洞,称为“Leaky Vessels”,对容器化环境构成高威胁。
-
漏洞包括CVE-2024-21626、CVE-2024-23651、CVE-2024-23652和CVE-2024-23653,CVSS评分分别为8.6、8.7、10和9.8。
-
这些漏洞存在于runc中,允许攻击者在主机上执行恶意代码,可能导致容器逃逸和系统整体被攻陷。
-
CVE-2024-21626允许未经授权的用户访问主机操作系统的文件系统,风险可通过使用可信的预构建镜像来降低。
-
CVE-2024-23651源于Docker版本低于23.0.1的符号链接竞争条件,攻击者可通过此漏洞访问主机文件。
-
CVE-2024-23652允许攻击者在构建镜像阶段访问和操作临时目录,可能导致敏感数据被删除。
-
CVE-2024-23653涉及Buildkit的权限检查不当,攻击者可利用此漏洞实现容器逃逸。
-
建议将runc升级到1.1.12或更高版本,Docker升级到23.0.1或更高版本,Buildkit升级到0.12.5或更高版本以修复漏洞。
-
除了打补丁,使用先进的云安全解决方案如AccuKnox Zero Trust可以提供额外保护,防止漏洞被利用。
-
AccuKnox Zero Trust Cloud Security通过自动生成的策略实现最小权限,保护应用程序免受潜在威胁。
延伸问答
什么是“Leaky Vessels”漏洞?
“Leaky Vessels”是指在Kubernetes和Docker容器中发现的四个高威胁漏洞,主要存在于runc中,允许攻击者执行恶意代码。
这些漏洞的CVSS评分是多少?
漏洞的CVSS评分分别为CVE-2024-21626(8.6)、CVE-2024-23651(8.7)、CVE-2024-23652(10)和CVE-2024-23653(9.8)。
如何降低这些漏洞带来的风险?
建议升级runc到1.1.12或更高版本,Docker到23.0.1或更高版本,并使用可信的预构建镜像。
CVE-2024-21626漏洞的主要影响是什么?
CVE-2024-21626允许未经授权的用户访问主机操作系统的文件系统,可能导致容器逃逸。
CVE-2024-23651漏洞是如何被利用的?
CVE-2024-23651利用了Docker版本低于23.0.1的符号链接竞争条件,攻击者可以通过此漏洞访问主机文件。
AccuKnox Zero Trust如何增强容器安全?
AccuKnox Zero Trust通过自动生成的策略实现最小权限,提供持续监控和实时行为洞察,防止漏洞被利用。
