MicroK8s容器安全风险CVE-2024-21626分析与解决方案

风险背景

在容器运行时领域，runc作为符合OCI标准的核心工具，负责在Linux系统上创建和运行容器。近期发现的CVE-2024-21626风险影响范围广泛，涉及runc 1.1.11及更早版本。该风险源于内部文件描述符管理问题，可能导致容器隔离性被突破。

风险原理深度解析

该风险包含三种主要影响方式：

1. 工作目录隔离突破：可能通过runc exec创建的新容器进程，利用未正确关闭的文件描述符获取主机文件系统命名空间的工作目录访问权限（影响类型2）

2. 特殊镜像利用：特定设计的容器镜像可通过runc run操作，使容器进程获得主机文件系统访问权（影响类型1）

3. 文件修改风险：风险变种可导致主机二进制文件被修改，实现容器隔离突破（影响类型3a/3b）

影响范围

该风险直接影响MicroK8s多个版本：

• 1.26.x系列（使用containerd 1.6.15）
• 1.27.x系列
• 1.28.x系列
• 1.29.x系列

关键影响组件为集成的containerd运行时（版本1.6.8/1.6.15），这些版本内置的runc组件存在问题。

解决方案

Canonical团队已采取以下措施：

1. 全面升级containerd至稳定版本1.6.28+，该版本包含更新后的runc 1.1.12
2. 对所有受支持的MicroK8s轨道（1.25+）进行统一更新
3. 新版Snap包已集成修复更新

用户应对建议

1. 立即升级：所有MicroK8s用户应尽快升级至包含修复更新的最新版本
2. 版本验证：通过命令检查节点运行时版本，确认containerd版本≥1.6.28
3. 安全检查：检查集群中是否存在异常的容器行为记录

技术启示

此事件再次凸显了容器运行时安全的重要性。建议企业：

• 建立容器运行时组件的安全更新监控机制
• 制定快速的更新应用流程
• 考虑采用多层防护策略，限制容器权限

MicroK8s团队快速响应风险的表现，体现了其对安全问题的重视程度，建议用户保持版本更新以获取最新的安全防护。