docker runc 版本升级

时间:2024-10-18 12:41:22

1.背景:

runc是一个轻量级通用容器运行环境,它允许一个简化的探针到运行和调试的底层容器的功能,不需要整个docker守护进程的接口。
runc存在容器逃逸漏洞,该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。攻击者可利用该漏洞在未授权的情况下,构造恶意数据造成容器逃逸,最终造成服务器敏感性信息泄露。

2.解决方案

将 runc 升级到 1.0.0-rc95 及以上版本,下载地址:

/opencontainers/runc/releases/

升级前使用docker version查看runc命令

1.选择1.0.0-rc95版本,下载runc.amd64

2. 上传服务器,修改名字并赋予权限

mv runc.amd64 runc && chmod +x runc

3.备份原有的runc

mv /usr/bin/runc /usr/bin/runcbak

 4.停止docker

systemctl stop docker

 5.替换新版本runc

cp runc /usr/bin/runc

 6. 启动docker

systemctl start docker

 7.检查runc是否升级成功

docker version

发现runc version为1.0.0-rc95代表runc升级成功。