runCコミュニティは最近、脆弱性CVE-2024-21626を発見しました。 攻撃者はこの脆弱性を悪用してコンテナから脱出し、ホストファイルシステムにアクセスしたり、外部バイナリを実行したりできます。 CVE-2024-21626の詳細については、「GHSA-xr7r-f8xq-vfvv」をご参照ください。 できるだけ早い機会にこの脆弱性を修正することを推奨します。
影響を受けるバージョン
次のrunCバージョンが影響を受けます。
1.1.0-rc93と1.1.11の間のRunCバージョン。
この脆弱性は次のrunCバージョンで修正されます:
1.1.12.
次のContainer Service for Kubernetes (ACK) クラスターが影響を受けます。
containerd 1.5.13および1.6.20を使用するACKクラスター。 他のバージョンにはこの脆弱性はありません。
ランタイムとそのバージョンは、ノードプールの基本情報ページで確認できます。
ACKクラスターに新しく追加されたノードは影響を受けません。
Dockerランタイムを使用するACKクラスターは影響を受けません。
解決策
上記のACKクラスターを使用する場合は、リリースノートに注意を払い、ACKクラスターのランタイムをパッチバージョンに更新します。 詳細については、「ノードプールの更新」をご参照ください。
ポリシーガバナンス機能の有効化トピックで説明されているACKAllowedReposポリシーを使用して、信頼できるリポジトリからのみ取得されたイメージをデプロイします。 さらに、最小特権の原則に従ってください。 信頼できるユーザーだけがイメージをインポートする権限を持っていることを確認してください。
コンテナーイメージのセキュリティと整合性を確保するために、[コンテナーイメージの署名] および [klitis-validation-hookを使用してコンテナーイメージの署名を自動的に検証する] トピックに記載されている機能を使用します。
ACK Edgeクラスターを使用する場合は、「脆弱性CVE-2024-21626の修正」をご参照ください。