Bleeping Computer 網站消息，2023 年 11 月，Snyk 安全研究員 Rory McNamara 發現了四個統稱為 "Leaky Vessels "的漏洞群。據悉，這些漏洞允許威脅攻擊者逃離容器并訪問底層主機操作系統上的數據信息。

發現安全漏洞問題后，安全研究員立即將這一問題報告給了受影響的各方，以便進行及時修復。值得一提的是，安全研究員沒有發現泄漏容器漏洞在野外被積極利用的跡象，但是還是建議所有受影響的系統管理員盡快應用可用的安全更新。

安全漏洞影響范圍廣泛，危害極大

容器是打包到一個文件中的應用程序，包含運行應用程序所需的所有運行時依賴項、可執行文件和代碼，一般由 Docker 和 Kubernetes 等平臺執行，這些平臺在與操作系統隔離的虛擬化環境中運行應用程序。

當威脅攻擊者或惡意應用程序脫離隔離的容器環境，未經授權訪問主機系統或其他容器時，就會發生容器逃逸。Snyk 團隊發現四個統稱為 "Leaky Vessels "的漏洞，主要影響了 runc 和 Buildkit 容器基礎架構和構建工具，可能允許威脅攻擊者在各種軟件產品上執行容器逃逸。

由于多種流行的容器管理軟件（如 Docker 和 Kubernetes）都在使用 runc 或 Buildkit，因此安全漏洞造成的網絡完全風險顯得尤為嚴重。

”Leaky Vessels "漏洞概述如下：

• CVE-2024-21626：該漏洞源于 runc 中 WORKDIR 命令的操作順序漏洞，允許威脅攻擊者逃離容器的隔離環境，對主機操作系統進行未經授權的訪問，并可能危及整個系統;
• CVE-2024-23651：Buildkit 的掛載緩存處理中的競賽條件導致不可預測的行為，可能允許威脅攻擊者操縱進程進行未經授權的訪問或破壞正常的容器操作;
• CVE-2024-23652：允許在 Buildkit 的容器拆卸階段任意刪除文件或目錄的漏洞，可能導致拒絕服務、數據損壞或未經授權的數據操作;
• CVE-2024-23653：該漏洞源于 Buildkit 的 GRPC 接口權限檢查不足，可能允許威脅攻擊者執行超出其權限的操作，導致權限升級或未經授權訪問敏感數據。

"Leaky Vessels "安全漏洞群的補救措施

鑒于 Buildkit 和 runc 被 Docker 等流行項目和多個 Linux 發行版廣泛使用，因此 Snyk 安全研究團隊、受影響組件（runc 和 Buildkit）的維護者以及更廣泛的容器基礎架構社區需要采取協調一致的行動，立刻修補 "Leaky Vessels "漏洞群。

2024 年 1 月 31 日，Buildkit 在 0.12.5 版本中修復了安全漏洞，runc 在 1.1.12 版本中解決了影響它的安全漏洞問題。Docker 也在同一天發布了 4.27.0 版，在其 Moby 引擎中納入了組件的安全版本 25.0.1 和 24.0.8。

隨后，亞馬遜網絡服務、谷歌云和 Ubuntu 相繼發布了安全公告，指導用戶采取適當步驟解決其軟件和服務中的安全漏洞。最后，CISA 還發布了一份警報，敦促云系統管理員采取適當措施，確保其系統免受潛在攻擊。

參考文章：https://www.bleepingcomputer.com/news/security/leaky-vessels-flaws-allow-hackers-to-escape-docker-runc-containers/#google_vignette