修复漏洞CVE-2021-30465公告
前提条件
- 目标节点创建时间早于 2022 年 4 月 13 日,且容器运行时为 Docker。
- 已在 CCE 控制台中定位到待修复节点,并具备目标节点登录权限与
sudo权限。 - 已可访问 runc v1.0.0-rc95 发布页并下载所需资产。## 概述
本文档介绍 CCE 集群中 runc 组件 CVE-2021-30465 漏洞的影响范围与修复方式。对于受影响且创建时间早于 2022 年 4 月 13 日、容器运行时为 Docker 的节点,可通过手动升级替换 runc 版本至 v1.0.0-rc95 完成修复。## 漏洞详情
- CVE 编号:
CVE-2021-30465 - 涉及组件:
runc - 漏洞描述:
CVE-2021-30465漏洞为高危漏洞,CVSS漏洞评分为7.6。漏洞详细信息参考 官方公告。 - 修复策略:将
runc升级至1.0.0-rc95及以上版本。
影响范围
- CCE集群容器运行时为Docker的节点均受影响。
- CCE集群容器运行时为Containerd的节点不受影响。
修复方案
- 2022 年 4 月 13 日后新建的节点已修复该漏洞。
- 2022 年 4 月 13 日前的存量节点,可手动升级替换
runc版本至v1.0.0-rc95,参考 runc v1.0.0-rc95。
手动升级替换 runc 版本至 v1.0.0-rc95
导航路径:控制台->CCE->集群列表
在目标集群的节点页登录待修复节点后,执行以下步骤。
步骤 1:确认 v1.0.0-rc95 发布资产
打开 runc v1.0.0-rc95 发布页,展开 Assets,确认可获取 runc.amd64 与 runc.sha256sum。其中 runc.amd64 用于替换节点上的 runc 二进制,runc.sha256sum 用于下载后的完整性校验。
步骤 2:下载并校验 v1.0.0-rc95 二进制
该步骤仅适用于 2022 年 4 月 13 日前创建且容器运行时为 Docker 的 CCE 节点。登录目标节点后,依次执行 mkdir -p /tmp/runc-rc95 && cd /tmp/runc-rc95、curl -LO https://github.com/opencontainers/runc/releases/download/v1.0.0-rc95/runc.amd64、curl -LO https://github.com/opencontainers/runc/releases/download/v1.0.0-rc95/runc.sha256sum、grep 'runc.amd64' runc.sha256sum | sha256sum -c -、chmod +x runc.amd64 和 ./runc.amd64 --version,确认完整性校验通过,且版本输出中包含 runc version 1.0.0-rc95。
步骤 3:备份并替换节点上的 runc
注意: 替换节点上的
runc二进制属于高风险操作。执行前请确认已完成备份,并在业务低峰期操作。
在目标节点执行 RUNC_PATH=$(command -v runc) 定位当前 runc 路径,使用 sudo cp "${RUNC_PATH}" "${RUNC_PATH}.bak.$(date +%F-%H%M%S)" 备份原二进制,再执行 sudo install -m 755 /tmp/runc-rc95/runc.amd64 "${RUNC_PATH}" 覆盖安装,最后运行 "${RUNC_PATH}" --version,确认替换后的 runc 版本为 1.0.0-rc95。
评价此篇文章