CVE-2024-21626
该漏洞 CVE-2024-21626 允许攻击者实现容器逃逸。
针对容器运行时组件 runC,官方于 2024 年 1 月 31 日发布了 1.1.12 版本以修复 CVE-2024-21626 漏洞,该漏洞可导致从容器中逃逸。受影响的版本范围为 >= v1.0.0-rc93, <= 1.1.11。
对于 containerd,修复版本为 1.6.28 和 1.7.13,受影响的版本范围为 1.4.7 至 1.6.27 以及 1.7.0 至 1.7.12。
对于 Docker,修复版本为 25.0.2。
在 AWS EC2 实例中运行测试,使用来自 AWS 市场的 RHEL-8 AMI 镜像
# 以 Redhat 8 为例
$ yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
# 安装旧版本之前,
# 在安装 docker 服务前,
# 你需要先安装 containerd 服务
$ yum list containerd.io --showduplicates
# 安装 docker 引擎,因此 containerd 不在列表中,
# 因为它已被安装(旧版本)
# 使用 "--showduplicates" 运行列表命令
$ yum list docker-ce --showduplicates
...
# 如果你想知道 "docker-ce" 的所有依赖项,可以运行
# yum install docker-ce,但不要按 "Y" 确认
# 因此最终的安装命令如下
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo yum install containerd.io-1.6.27-3.1.el8 \
docker-buildx-plugin-0.10.5-1.el8 \
...
CSD0tFqvECLokhw9aBeRquRSYbPDsBZ3HAaDXuAEnsEpfc4Vx5ew/gjTkMPUSE79abb24LKCWvG3osW/lXXW2464ydydvf/kAy9VtxY4i7FYtriy5g7kvqa0KCOc9axdaPUKQqg7uHZKPA3IW+YvSA==
