runc 文件描述符泄漏导致容器逃逸漏洞(CVE-2024-21626)修复

漏洞组件：

runc version:/bin/runc 1.0.0-rc93

漏洞名称：

runc 文件描述符泄漏导致容器逃逸漏洞（CVE-2024-21626）

漏洞描述

docker-runc 是一个用 Go 语言编写的 CLI 工具，它利用 Linux 的核心功能（如 cgroups 和命名空间）来创建和运行容器，当Docker或者其他基于 runc的容器运行时存在安全漏洞，攻击者可以利用文件描述符泄漏，特权用户执行恶意容器镜像，从而获取到宿主机的root权限。

解决方式：

注意：本次演示服务器为 Anolis OS release 8.4 系统【cento 7以上版本也同样试用】

1、查看服务器上当前的runc版本。

2、下载最新包

wget https://github.com/opencontainers/runc/releases/download/v1.1.12/runc.amd64

3、查看当前服务器上面 runc 存放的位置

which runc

4、备份旧的部署包并将新的包替换上去

# 上传新的包至 /opt 目录【目录自定义】并重命名
mv runc.amd64 runc

# 添加权限
chmod 755 runc

# 备份旧的包
mv  /usr/bin/runc  /usr/bin/runc-`date '+%F'`-bak

# 替换新的部署包
mv runc /usr/bin

5、重启docker服务

systemctl restart docker

6、查看并确认是否升级完成