更新时间:2024-05-09 GMT+08:00
runc systemd属性注入漏洞公告(CVE-2024-3154)
业界安全研究人员披露runc systemd属性注入漏洞(CVE-024-3154),攻击者可将恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload)注入Pod注解中,进而在宿主机中执行任意操作。
漏洞详情
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
|---|---|---|---|
代码执行 |
严重 |
2024-04-26 |
漏洞影响
攻击者利用runc的systemd cgroup特性进行攻击,可通过在Pod注解中注入恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload),进而在宿主机中执行任意操作。
CCE集群未使用runc的systemd cgroup特性,因此不受此漏洞影响。
判断方法
您可以在节点上执行命令查看容器引擎使用的cgroup。
- 容器引擎为containerd的节点,执行以下命令:
crictl info |grep -i systemdCgroup
显示如下:
"systemdCgroup": false
- 容器引擎为docker的节点,执行以下命令:
docker info |grep "Cgroup"
显示如下:
Cgroup Driver: cgroupfs
表明容器引擎使用的cgroup系统为cgroupfs,并未使用systemd cgroup,不受此漏洞影响。
漏洞修复方案
华为云CCE集群未开启runc的systemd cgroup特性,不受runc漏洞CVE-2024-3154影响,请放心使用。
相关链接
runc systemd cgroup特性:https://github.com/opencontainers/runc/blob/main/docs/systemd.md#auxiliary-properties
父主题: 漏洞公告
