騰訊雲發佈runC容器逃逸漏洞修復公告

尊敬的騰訊雲客戶，您好： 

　　 近日，騰訊雲安全中心監測發現輕量級容器運行環境runc被爆存在容器逃逸漏洞，攻擊者能夠在利用該漏洞覆蓋Host上的runc文件，從而在Host上以root權限執行代碼。

        爲避免您的業務受影響，騰訊雲安全中心建議您及時開展安全自查，如在受影響範圍，請您及時進行更新修復，避免被外部攻擊者入侵。

 

【漏洞詳情】

         runc是一個輕量級通用容器運行環境，它是一個命令行工具，能夠根據開放容器方案（Open Container Initiative）生成和運行容器，該漏洞若被利用，會容許惡意容器(以最少的用戶交互)覆蓋Host上的runc文件，從而在Host上以root權限執行代碼，進而攻擊其它容器或Host。目前CVSSv3官方評分達7.2分。

 

【風險等級】

   高風險

 

【漏洞風險】

   容器逃逸攻擊風險，存在漏洞的runc被利用後能夠獲取Host的root權限，並利用該權限攻擊其餘容器或機器。

 

【影響版本】

       除runc以外，Apache Mesos、LXC也在受影響之列。

 

【修復建議】

        若您使用的是騰訊雲容器服務TKE， 您能夠經過如下方法進行漏洞修復

        1. TKE 已經修復增量版本，新建立的集羣和新加入的節點不受影響

        2.若Docker版本爲17.12.1的容器節點，可用root權限執行如下命令升級runc版本。此方法不影響該節點正在運行的業務。

        wget  http://static.ccs.tencentyun.... 

        chmod +x ./docker17.12-runc-e25b2183f
        mv /usr/bin/docker-runc /usr/bin/docker-runc-$(date -Iseconds)
        mv docker17.12-runc-e25b2183f /usr/bin/docker-runc 

         驗證是否升級成功：
         執行docker-runc -v， 應該看到以下版本信息：

         runc version 1.0.0-rc4+dev
         commit: e25b2183f48e942cb41582898acbf7e24b5d2f31
         spec: 1.0.0

         3. 目前TKE已修復增量Docker版本，您存量的節點能夠經過移出集羣再加入集羣觸發節點從新初始化進行修復。此方法不限制Docker版本但會形成節點重啓。

 

【漏洞參考】

  1）漏洞詳情：https://www.openwall.com/list...

  2）修復參考：https://github.com/opencontai... 

  3）LXC修復：https://github.com/lxc/lxc/co...