为了提升安全性,我们于 2024 年 2 月 3 日凌晨在 Sealos Cloud 上完成了 Containerd 与 runc 版本的升级。此次升级主要解决了 runc 1.1.11 及之前版本中存在的内部文件描述符泄漏漏洞 (详细信息请参考 CVE-2024-21626[1])。
此次升级涵盖了 Sealos 公有云所有集群:
海外版:https://cloud.sealos.io
国内版:https://cloud.sealos.top
帕鲁专属集群:https://hzh.sealos.run
我们提供以下指南,以帮助您在 Sealos Cloud 私有化部署中完成 Containerd 与 runc 的安全升级。
升级背景
在 runc 1.1.11 及之前的版本中存在内部文件描述符泄漏漏洞。攻击者可以通过 runc exec 生成的新容器进程,在主机文件系统命名空间中设定工作目录,从而允许通过访问主机文件系统实现容器逃逸。
安全升级步骤
为确保您的 Sealos Cloud 私有化部署的安全性,建议按以下步骤进行 containerd 与 runc 的安全升级:
1. 备份数据
在进行升级前,请确保已对关键数据进行了备份,以防万一。升级会造成 containerd 重启,请确认影响范围。
2. 升级 containerd 与 runc
执行升级命令,将 containerd 与 runc 分别更新至 v1.7.13 及 v1.1.12 版本,以修复已知的安全漏洞。
方式 1:使用 Sealos CLI 一键升级 (推荐)
在 master0 节点上执行下面集群镜像即可一键升级:
sealos run registry.cn-hangzhou.aliyuncs.com/lingdie/sealos-upgrade-runc:latest
方式 2:使用 Sealos CLI 执行脚本升级
在 master0 节点上执行升级脚本 (需要网络环境):
#!/usr/bin/env bashset -euxo pipefailsealos exec "wget https://github.com/opencontainers/runc/releases/download/v1.1.12/runc.amd64 -O runc"sealos exec "wget https://github.com/containerd/containerd/releases/download/v1.7.13/containerd-1.7.13-linux-amd64.tar.gz"sealos exec "chmod +x runc && mv runc /usr/bin"sealos exec "tar xfz containerd-1.7.13-linux-amd64.tar.gz -C /usr"sealos exec "systemctl restart containerd && sleep 3"sealos exec "systemctl is-active containerd"
方式 3:执行脚本升级
在所有节点上执行脚本:
#!/usr/bin/env bashset -euxo pipefailwget https://github.com/opencontainers/runc/releases/download/v1.1.12/runc.amd64 -O runcwget https://github.com/containerd/containerd/releases/download/v1.7.13/containerd-1.7.13-linux-amd64.tar.gzchmod +x runc && mv runc /usr/bintar xfz containerd-1.7.13-linux-amd64.tar.gz -C /usrsystemctl restart containerd && sleep 3systemctl is-active containerd
3. 验证升级
sealos exec 'runc -v && containerd --version'
确保升级后的 Containerd 与 runc 工作正常。可以通过执行一些常见的容器操作,以及检查系统日志来验证升级的成功性。
结语
通过遵循上述安全升级指南,您可以有效提升 Sealos 私有化部署的安全性,确保容器环境不受已知漏洞的威胁。如果在升级过程中遇到问题或有其他安全方面的疑虑,请随时联系我们的支持团队获取帮助。感谢您对 Sealos 的信任与支持!
引用链接
[1]
CVE-2024-21626: https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv
加入 Sealos 开源社区
体验像个人电脑一样简单的云操作系统
🏠官网链接
https://sealos.run
🐙GitHub 地址
https://github.com/labring/sealos
📑访问 Sealos 文档
https://sealos.run/docs/Intro
🏘️逛逛论坛
https://forum.laf.run/
往期推荐
10s,将终端的帕鲁数量上限变成 20!
2024-02-02
爆了!Sealos 三天内支持 1000 个帕鲁私服
2024-01-29
火遍全球的《幻兽帕鲁》游戏私服终于被 Sealos 拿下了!
2024-01-24
关于 Sealos
Sealos 是一款以 Kubernetes 为内核的云操作系统发行版。它以云原生的方式,抛弃了传统的云计算架构,转向以 Kubernetes 为云内核的新架构,使企业能够像使用个人电脑一样简单地使用云。
关注 Sealos 公众号与我们一同成长👇👇👇