查看原文
其他

Containerd 与 runc 爆惊天大漏洞,赶紧升级!

sealos.run Sealos 2024-03-28

为了提升安全性,我们于 2024 年 2 月 3 日凌晨在 Sealos Cloud 上完成了 Containerd 与 runc 版本的升级。此次升级主要解决了 runc 1.1.11 及之前版本中存在的内部文件描述符泄漏漏洞 (详细信息请参考 CVE-2024-21626[1])。

此次升级涵盖了 Sealos 公有云所有集群:

  • 海外版:https://cloud.sealos.io
  • 国内版:https://cloud.sealos.top
  • 帕鲁专属集群:https://hzh.sealos.run

我们提供以下指南,以帮助您在 Sealos Cloud 私有化部署中完成 Containerd 与 runc 的安全升级。

升级背景

在 runc 1.1.11 及之前的版本中存在内部文件描述符泄漏漏洞。攻击者可以通过 runc exec 生成的新容器进程,在主机文件系统命名空间中设定工作目录,从而允许通过访问主机文件系统实现容器逃逸。

安全升级步骤

为确保您的 Sealos Cloud 私有化部署的安全性,建议按以下步骤进行 containerd 与 runc 的安全升级:

1. 备份数据

在进行升级前,请确保已对关键数据进行了备份,以防万一。升级会造成 containerd 重启,请确认影响范围。

2. 升级 containerd 与 runc

执行升级命令,将 containerd 与 runc 分别更新至 v1.7.13 及 v1.1.12 版本,以修复已知的安全漏洞。

方式 1:使用 Sealos CLI 一键升级 (推荐)

在 master0 节点上执行下面集群镜像即可一键升级:

sealos run registry.cn-hangzhou.aliyuncs.com/lingdie/sealos-upgrade-runc:latest

方式 2:使用 Sealos CLI 执行脚本升级

在 master0 节点上执行升级脚本 (需要网络环境):

#!/usr/bin/env bashset -euxo pipefail
sealos exec "wget https://github.com/opencontainers/runc/releases/download/v1.1.12/runc.amd64 -O runc"
sealos exec "wget https://github.com/containerd/containerd/releases/download/v1.7.13/containerd-1.7.13-linux-amd64.tar.gz"
sealos exec "chmod +x runc && mv runc /usr/bin"
sealos exec "tar xfz containerd-1.7.13-linux-amd64.tar.gz -C /usr"
sealos exec "systemctl restart containerd && sleep 3"
sealos exec "systemctl is-active containerd"

方式 3:执行脚本升级

在所有节点上执行脚本:

#!/usr/bin/env bashset -euxo pipefail
wget https://github.com/opencontainers/runc/releases/download/v1.1.12/runc.amd64 -O runc
wget https://github.com/containerd/containerd/releases/download/v1.7.13/containerd-1.7.13-linux-amd64.tar.gz
chmod +x runc && mv runc /usr/bin
tar xfz containerd-1.7.13-linux-amd64.tar.gz -C /usr
systemctl restart containerd && sleep 3
systemctl is-active containerd

3. 验证升级

sealos exec 'runc -v && containerd --version'

确保升级后的 Containerd 与 runc 工作正常。可以通过执行一些常见的容器操作,以及检查系统日志来验证升级的成功性。

结语

通过遵循上述安全升级指南,您可以有效提升 Sealos 私有化部署的安全性,确保容器环境不受已知漏洞的威胁。如果在升级过程中遇到问题或有其他安全方面的疑虑,请随时联系我们的支持团队获取帮助。感谢您对 Sealos 的信任与支持!

引用链接

[1]

CVE-2024-21626: https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv

加入 Sealos 开源社区体验像个人电脑一样简单的云操作系统



🏠官网链接

https://sealos.run


🐙GitHub 地址

https://github.com/labring/sealos


📑访问 Sealos 文档

https://sealos.run/docs/Intro


🏘️逛逛论坛

https://forum.laf.run/

往期推荐

10s,将终端的帕鲁数量上限变成 20!

2024-02-02

爆了!Sealos 三天内支持 1000 个帕鲁私服

2024-01-29

火遍全球的《幻兽帕鲁》游戏私服终于被 Sealos 拿下了!

2024-01-24


关于 Sealos

Sealos 是一款以 Kubernetes 为内核的云操作系统发行版。它以云原生的方式,抛弃了传统的云计算架构,转向以 Kubernetes 为云内核的新架构,使企业能够像使用个人电脑一样简单地使用云。


关注 Sealos 公众号与我们一同成长👇👇👇

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存