AI 文章摘要
runc 1.1.11及更早版本存在文件描述符泄露漏洞(CVE-2024-21626),攻击者可能利用该漏洞在特定条件下(如提供自定义镜像)实现容器逃逸。影响范围为1.0.0-rc93至1.1.11,安全版本为1.1.12。修复需升级runc并重启Docker服务。
阅读本文约需2分钟。
摘要更新时间:2026-06-23 21:04
漏洞详情
在 runc 1.1.11 及之前的版本中,由于内部文件描述符泄露的问题,攻击者可以让新生成的容器进程在宿主文件系统命名空间中拥有工作目录,从而允许通过访问宿主文件系统实现容器逃逸等。漏洞利用需要具体的环境,例如允许攻击者提供自定义镜像等。
阿里云产品关于 runc的安全问题(CVE-2024-21626)影响声明 https://help.aliyun.com/noticelist/articleid/1069353299.html
影响范围 1.0.0-rc93 <= runc <= 1.1.11
安全版本 runc 1.1.12
漏洞详情:https://github.com/opencontainers/runc/commit/02120488a4c0fc487d1ed2867e901eeed7ce8ecf
修复步骤
我的是CentOS系统,首先,下载runc.amd64并上传到服务器的随便一个文件夹,我上传到/opt文件目录下,下载网址

其次,先备份原来的runc文件mv /usr/bin/runc /usr/bin/runcbak
然后更新runcchmod +x /usr/bin/runc && mv /opt/runc.amd64 /usr/bin/runc
最后重启docker服务并检查 runc 是否更新成功systemct1 restart docker.service 或者 service docker restart
再输入docker version

这样就好了