runc社区披露了高危安全漏洞CVE-2024-21626,攻击者可以利用该漏洞越权访问宿主机文件或执行二进制程序,关于该漏洞的详细信息,请参见runc社区公告 GHSA-xr7r-f8xq-vfvv。 建议您及时更新修复。
影响范围
runc版本影响范围:
≥v1.0.0-rc93,≤1.1.11
社区在下列版本中修复了该问题:
1.1.12。
ACK集群影响范围:
集群运行时为containerd,且版本为1.5.13和1.6.20。其余版本不受该漏洞影响。
您可以在节点池的基本信息中查看节点池的运行时以及运行时版本。
说明
新建集群和存量集群的新增节点已完成升级,不受该漏洞影响。
Docker运行时不受该漏洞影响。
解决方案
对于上述影响范围内的存量ACK集群节点,请您关注并参考containerd运行时发布记录,并及时更新集群运行时至漏洞修复版本。具体操作,请参见升级节点池。
使用配置容器安全策略中的ACKAllowedRepos策略,限制只使用可信仓库来源的镜像,同时基于最小化权限原则确保只有可信人员具有导入镜像的权限。
使用使用容器镜像加签和使用kritis-validation-hook组件实现自动验证容器镜像签名功能,确保部署容器应用镜像的安全完整性。
如果您的集群类型为ACK Edge集群,解决方案请参见CVE-2024-21626修复方案。