docker runc 文件描述符泄漏导致容器逃逸漏洞(CVE-2024-21626)

已于 2024-03-14 20:01:52 修改
阅读量993 收藏 6
点赞数 9
分类专栏: Linux Docker 文章标签: docker eureka 容器
于 2024-03-08 10:36:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43549604/article/details/136554785
版权

这篇博客首先要指出的是正确runc的漏洞修复方式,另外就是说明当你重启docker时遇到了问题时应该如何正确的定位问题。

  1. 首先正确的升级runc的方式如下
    runc升级
  2. 当你重启docker失败时
    首先应该定位的地方是通过查看 /var/log/messages,定位到具体导致docker启动失败的原因。
    举例
Mar  7 20:29:32 iZvy201jk9svcjndkz0cyzZ dockerd[1071123]: time="2024-03-07T20:29:32.989464320+08:00" level=warning msg="grpc: addrConn.createTransport failed to connect to {unix:///var/run/docker/containerd/containerd.sock  <nil> 0 <nil>}. Err :connection error: desc = \"transport: error while dialing: dial unix:///var/run/docker/containerd/containerd.sock: timeout\". Reconnecting..." module=grpc

定位到具体的docker异常信息,然后再去寻找解决方案,上面这个例子的解决方案是需要启动containerd, 在我的环境中启动脚本是/usr/bin/containerd,执行这个脚本containerd就启动了,docker也重启成功。
如果 docker 重启成功之后再启动容器,遇到以下报错,不用慌,不是docker坏了,你再尝试一下启动容器的命令,容器就成功启动了!

Error response from daemon: failed to create shim: OCI runtime create failed: runc create failed: container with given ID already exists: unknown
Error: failed to start containers: proxysql

切忌随便删除文件,有很多的博客给出了删除某些文件的操作之后docker能够重启成功,但是删除文件的操作可能会导致容器、镜像数据的丢失,如果执行这些操作之前没有进行文件备份,这将给我们带来不可逆的损失。

参考博客

docker启动逻辑
runc升级

九术沫
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2024-21626 容器逃逸漏洞+修复方式
xdxghy0921
02-08 1407
CVE-2024-21626处理方案
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞 0x10靶场环境 0x20目录结构 CVE-2021-22192 ├── README.md ............... [此 README 说明] ├── imgs .................... [辅助 README 说明的图片] ├── gitlab .................. [Gitlab 容器的挂载目录] │ ├── Dockerfile .......... [Gitlab 的 Docker 构建文件] │ ├── config .............. [Gitlab 配置挂载目录] │ ├── data ................ [Gitlab 数据挂载目录] │ ├── logs ................ [Gitlab 日
Docker runC 严重安全漏洞导致容器逃逸修复方法(CVE-2019-5736 )
zhangyuxun3的博客
03-30 2753
漏洞详情: Docker、containerd或者其他基于runc容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。
常见的Docker容器漏洞总结
Python专栏
06-30 779
关注“网络安全学习圈”微信公众号,回复暗号,立即领取最新。
runc 文件描述符泄漏漏洞CVE-2024-21626
云深海阔专栏
02-20 510
将我们runc的版本升级到1.1.12。2、下载最新的runc二进制文件。3、查看最新的runc版本号。1、查看现有的版本号。
runc容器逃逸漏洞最强后续:应对之策汇总与热点疑问解答
weixin_34148508的博客
02-15 148
美国时间2019年2月11日晚,runc通过oss-security邮件列表披露了runc容器逃逸漏洞CVE-2019-5736的详情。runcDocker、CRI-O、Containerd、Kubernetes等底层的容器运行时,此次安全漏洞无可避免地会影响大多数Docker与Kubernetes用户,也因此为整个业界高度关注。 漏洞...
新近爆出的runC容器逃逸漏洞,用户如何面对?
weixin_33912445的博客
02-13 207
runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI工具,目前Docker引擎内部也是基于runc构建的。 2019年2月11日,研究人员通过oss-security邮件列表(https://www.openwall.com/list... )披露了runc容器逃逸漏洞的详情,根据Ope...
[漏洞修复]Docker runc容器逃逸漏洞(CVE-2021-30465)
水布天
04-11 2257
runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。runc是一个轻量级通用容器运行环境,它允许一个简化的探针到运行和调试的底层容器的功能,不需要整个docker守护进程的接口。如果采取替换runc二进制文件进行漏洞修复,针对不同的操作系统发行版,需要替换对应操作系统发行版提供的runc二进制文件。
CVE-2024-21626容器逃逸漏洞修复
s_alted的博客
02-21 1275
简单来讲,是一个用 Go 语言编写的 CLI 工具,它利用 Linux 的核心功能(如 cgroups 和命名空间)来创建和运行容器。由于runc内部不正确处理文件描述符导致泄漏关键的宿主机文件描述符容器中。攻击1: 利用文件描述符泄漏,特权用户执行恶意容器镜像,导致 pid1 进程在宿主机挂载命名空间中拥有工作目录,从而允许对整个宿主文件系统的访问。攻击2: 在runc exec中存在文件描述符泄漏和工作目录验证不足,攻击者可通过符号链接将路径替换为。
云小课|Runc容器逃逸漏洞CVE-2024-21626)安全风险通告
华为云官方博客
02-04 1429
runc官方发布安全公告,披露runc 1.1.11及更早版本中存在容器逃逸漏洞,攻击者会利用该漏洞导致容器逃逸,进一步获取宿主机权限。
CVE-2019-5736-PoC验证环境需要的文件docker18.03,go1.9
10-20
CVE-2019-5736验证环境需要的文件 docker18.03 docker-ce-18.03.1.ce-1.el7.centos.x86_64.rpm docker-ce-19.03.9-3.el7.x86_64.rpm docker-ce-cli-19.03.9-3.el7.x86_64.rpm docker-ce-selinux-17.03.2.ce-1.el7....
exploit-CVE-2016-7434:NTPD远程DOS漏洞利用和易受攻击的容器
02-05
CVE-2016-7434 ntpd DOS攻击 Ntpd具有空指针引用,该引用可能触发崩溃的应用程序。 根据NTP.org的说法,“如果将ntpd配置为允许来自发送精心制作的恶意数据包的服务器的mrulist查询请求,则ntpd会在收到该精心制作的...
CVE-2021-25735:利用CVE-2021-25735
05-14
要部署接纳控制器,您需要在本地构建Docker容器映像,使用以下命令标记该映像并将其推送到Dockerhub。 docker login docker build -t validationwebhook:1.0 . docker tag validationwebhook:1.0 darryk/dev:1.0 ...
使用 Docker 自建一款怀旧游戏之 - 超级马里奥
Toasten
04-25 659
《 超级马里奥 》(Super Mario)是任天堂公司创造的一款经典游戏系列,是世界上最知名、最成功的游戏之一。这个系列由日本设计师宫本茂于 1985 年创造,最初的游戏名为《超级马里奥兄弟》(Super Mario Bros.),推出后风靡全球。
04 Docker练习赛从0开始到 docker 镜像提交
最新发布
TF(腾飞)开源
04-30 628
创建 Dockerfile这里 FROM 后面跟的是 baseimg 这里选择的是天池 baseimg 帖子里的第一个ADD ./ 是把当前文件夹里的文件构建到镜像的根目录下WORKDIR / 指定默认工作目录为跟目录(这里要注意指定后,需要把 run.sh 和生成的结果文件都存放在该文件夹下,否则提交会运行失败)第四句话是安装软件包,这里不需要,注释掉最后一句 CMD 就是镜像启动时执行什么命令,这里统一为 sh run.sh 不需要改动。
Docker consul的容器服务更新与发现
YUEAwb的博客
04-29 617
consul是google开源的一个使用go语言开发的服务管理软件。支持多数据中心、分布式高可用的、服务发现和配置共享。采用Raft算法,用来保证服务的高可用。内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(比如ZooKeeper等)。服务部署简单,只有一个可运行的二进制的包。每个节点都需要运行agent,他有两种运行模式server 和 client。
[docker] docker 安全知识 - docker 系统性简介
GoldenaArcher的博客
04-27 915
今年的 security training 选的 topic 就是 docker 了,为了过这个 training 于是先把 docker 过了一遍(笑死之前干啃的时候确实觉得不太能看下去,不过走了一遍实践之后发现就比较好理解。
dockernginx 安全漏洞(cve-2019-9511)不升级
01-23
docker是一款用于构建、发布和运行应用程序的开源平台。而Nginx是一款流行的开源的Web服务器软件。CVE-2019-9511是指Nginx在处理大量特定的HTTP/2请求时可能会导致远程的拒绝服务攻击。 如果不升级docker中的Nginx,就意味着仍然存在这个安全漏洞,可能会导致服务器遭受拒绝服务攻击。在遭受攻击时,服务器将无法正常处理用户的请求,从而导致服务不可用。这不仅会影响用户体验,还可能导致数据丢失、服务中断等严重后果。 对于企业而言,安全漏洞的存在可能会引发法律责任问题,因为企业需要承担用户数据泄露或服务中断所带来的责任。此外,还可能面临声誉受损、业务损失等问题。因此,即使在Nginx中发现了安全漏洞,也要及时升级修复,以保障服务器和应用程序的正常运行。 为了解决这个问题,首先需要及时了解CVE-2019-9511的修复情况,并及时查找Nginx的安全升级版本。随后,需要安排技术人员进行升级工作,确保Nginx的版本得到及时修复。为了防止类似漏洞再次出现,还需要加强对docker环境的安全监控和漏洞扫描,及时发现和解决安全问题。 综上所述,不升级docker中的Nginx安全漏洞可能会导致严重的后果,因此必须及时进行修复和升级工作,保障服务器和应用程序的安全运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值