Bleeping Computer 網(wǎng)站消息，2023 年 11 月，Snyk 安全研究員 Rory McNamara 發(fā)現(xiàn)了四個統(tǒng)稱為 "Leaky Vessels "的漏洞群。據(jù)悉，這些漏洞允許威脅攻擊者逃離容器并訪問底層主機操作系統(tǒng)上的數(shù)據(jù)信息。

發(fā)現(xiàn)安全漏洞問題后，安全研究員立即將這一問題報告給了受影響的各方，以便進行及時修復。值得一提的是，安全研究員沒有發(fā)現(xiàn)泄漏容器漏洞在野外被積極利用的跡象，但是還是建議所有受影響的系統(tǒng)管理員盡快應(yīng)用可用的安全更新。

安全漏洞影響范圍廣泛，危害極大

容器是打包到一個文件中的應(yīng)用程序，包含運行應(yīng)用程序所需的所有運行時依賴項、可執(zhí)行文件和代碼，一般由 Docker 和 Kubernetes 等平臺執(zhí)行，這些平臺在與操作系統(tǒng)隔離的虛擬化環(huán)境中運行應(yīng)用程序。

當威脅攻擊者或惡意應(yīng)用程序脫離隔離的容器環(huán)境，未經(jīng)授權(quán)訪問主機系統(tǒng)或其他容器時，就會發(fā)生容器逃逸。Snyk 團隊發(fā)現(xiàn)四個統(tǒng)稱為 "Leaky Vessels "的漏洞，主要影響了 runc 和 Buildkit 容器基礎(chǔ)架構(gòu)和構(gòu)建工具，可能允許威脅攻擊者在各種軟件產(chǎn)品上執(zhí)行容器逃逸。

由于多種流行的容器管理軟件（如 Docker 和 Kubernetes）都在使用 runc 或 Buildkit，因此安全漏洞造成的網(wǎng)絡(luò)完全風險顯得尤為嚴重。

”Leaky Vessels "漏洞概述如下：

• CVE-2024-21626：該漏洞源于 runc 中 WORKDIR 命令的操作順序漏洞，允許威脅攻擊者逃離容器的隔離環(huán)境，對主機操作系統(tǒng)進行未經(jīng)授權(quán)的訪問，并可能危及整個系統(tǒng);
• CVE-2024-23651：Buildkit 的掛載緩存處理中的競賽條件導致不可預(yù)測的行為，可能允許威脅攻擊者操縱進程進行未經(jīng)授權(quán)的訪問或破壞正常的容器操作;
• CVE-2024-23652：允許在 Buildkit 的容器拆卸階段任意刪除文件或目錄的漏洞，可能導致拒絕服務(wù)、數(shù)據(jù)損壞或未經(jīng)授權(quán)的數(shù)據(jù)操作;
• CVE-2024-23653：該漏洞源于 Buildkit 的 GRPC 接口權(quán)限檢查不足，可能允許威脅攻擊者執(zhí)行超出其權(quán)限的操作，導致權(quán)限升級或未經(jīng)授權(quán)訪問敏感數(shù)據(jù)。

"Leaky Vessels "安全漏洞群的補救措施

鑒于 Buildkit 和 runc 被 Docker 等流行項目和多個 Linux 發(fā)行版廣泛使用，因此 Snyk 安全研究團隊、受影響組件（runc 和 Buildkit）的維護者以及更廣泛的容器基礎(chǔ)架構(gòu)社區(qū)需要采取協(xié)調(diào)一致的行動，立刻修補 "Leaky Vessels "漏洞群。

2024 年 1 月 31 日，Buildkit 在 0.12.5 版本中修復了安全漏洞，runc 在 1.1.12 版本中解決了影響它的安全漏洞問題。Docker 也在同一天發(fā)布了 4.27.0 版，在其 Moby 引擎中納入了組件的安全版本 25.0.1 和 24.0.8。

隨后，亞馬遜網(wǎng)絡(luò)服務(wù)、谷歌云和 Ubuntu 相繼發(fā)布了安全公告，指導用戶采取適當步驟解決其軟件和服務(wù)中的安全漏洞。最后，CISA 還發(fā)布了一份警報，敦促云系統(tǒng)管理員采取適當措施，確保其系統(tǒng)免受潛在攻擊。

參考文章：https://www.bleepingcomputer.com/news/security/leaky-vessels-flaws-allow-hackers-to-escape-docker-runc-containers/#google_vignette