文档首页/ 云容器引擎 CCE/ 服务公告/ 漏洞公告/ runc systemd属性注入漏洞公告(CVE-2024-3154)
更新时间:2024-05-09 GMT+08:00

runc systemd属性注入漏洞公告(CVE-2024-3154)

业界安全研究人员披露runc systemd属性注入漏洞(CVE-024-3154),攻击者可将恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload)注入Pod注解中,进而在宿主机中执行任意操作。

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

代码执行

CVE-2024-3154

严重

2024-04-26

漏洞影响

攻击者利用runc的systemd cgroup特性进行攻击,可通过在Pod注解中注入恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload),进而在宿主机中执行任意操作。

CCE集群未使用runc的systemd cgroup特性,因此不受此漏洞影响。

判断方法

您可以在节点上执行命令查看容器引擎使用的cgroup。

  • 容器引擎为containerd的节点,执行以下命令:
    crictl info |grep -i systemdCgroup

    显示如下:

    "systemdCgroup": false
  • 容器引擎为docker的节点,执行以下命令:
    docker info |grep "Cgroup"

    显示如下:

    Cgroup Driver: cgroupfs

表明容器引擎使用的cgroup系统为cgroupfs,并未使用systemd cgroup,不受此漏洞影响。

漏洞修复方案

华为云CCE集群未开启runc的systemd cgroup特性,不受runc漏洞CVE-2024-3154影响,请放心使用。