漏洞描述：

2024年1月31号，runc官方发布安全通告（https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv ）。在 runc 1.1.11 及之前的版本中，由于内部文件描述符泄露的问题，攻击者可以让新生成的容器进程在宿主文件系统命名空间中拥有工作目录，从而允许通过访问宿主文件系统实现容器逃逸等。

漏洞利用需要具体的环境，例如允许攻击者提供自定义镜像等。官方已于2024年2月1日发布安全更新，建议相关受影响用户升级。

影响范围

1.0.0-rc93 <= runc <= 1.1.11

安全版本

runc 1.1.12

解决建议：

1、官方已于2024年2月1日发布安全更新（runc 1.1.12版本），建议相关受影响用户升级。 https://github.com/opencontainers/runc/releases/tag/v1.1.12

2、百度智能云 CCE 容器服务 影响情况及修复进展

• 对于2024年2月19日之后创建的新增 CCE 集群和节点不受该漏洞影响。
• 对于集群存量节点，可通过在机器上执行以下命令进行runc升级：

wget https://baidu-container.cdn.bcebos.com/runtime/containerd/cce-cve-2024-21626.tar.gz && tar -zxf cce-cve-2024-21626.tar.gz && cd cce-cve-2024-21626 && bash upgrade-runc-v1.1.12.sh

3、如无法升级到修复版本，官方缓解措施参考如下（实施前请评估对业务的影响）：

• 设置容器的WORKDIR为/
• 仅允许用户运行受信任的镜像
• 不要运行exec

参考链接：

https://github.com/opencontainers/runc/releases/tag/v1.1.12 https://github.com/opencontainers/runc/commit/02120488a4c0fc487d1ed2867e901eeed7ce8ecf https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv