[Linux] 보안취약점 CVE-2024-21626 대해

 

안녕하세요. 주식회사 서버몬 입니다.

 

오늘은 2024년1월31일에 발표된 보안취약점 CVE-2024-21626에 대해 알아보겠습니다. 

 

레드햇에서 긴급하고 중요한 보안취약점은 공지하고 있습니다.

하기 경로에서 확인 가능 합니다.

https://access.redhat.com/security/vulnerabilities

 

 

 

Red Hat은 컨테이너 탈출을 허용하는 핵심 컨테이너 인프라 구성 요소인 'runc'의 취약성을 인식합니다. 공격자는 이러한 컨테이너 탈출을 사용하여 컨테이너 내에서 기본 호스트 운영 체제에 무단으로 액세스할 수 있습니다. 공격자가 이 취약성을 이용할 수 있는 몇 가지 방법이 있습니다. 사용자가 악의적인 이미지를 사용하거나 구축하도록 속이거나 'runcexec'로 실행될 수 있는 컨테이너 내 악성 프로세스를 사용할 수 있습니다.

 

이 문제는 CVE-2024-21626으로 지정되어 있으며, 심각도 영향이 중요한 것으로 평가됩니다.

 

- 다음 Red Hat 제품 버전은 직접적인 영향을 받습니다:

 . Red Hat OpenShift Container Platform 4

 . Red Hat OpenShift Container Platform 3.11 

 . Red Hat Enterprise Linux 7

 . Red Hat Enterprise Linux 8 

 . Red Hat Enterprise Linux 9

 

또한 RHEL CoreOS를 포함하여 Red Hat Enterprise Linux에서 지원되는 모든 Red Hat 제품도 잠재적으로 영향을 받을 수 있습니다. 

 

관련 취약점 CVE-2024-23651, CVE-2024-23652 및 CVE-2024-23653이 moby buildkit에서 확인되었으며 현재 Red Hat 제품 보안 팀에서 조사 중입니다.

 

> 기술 요약

' Dockerfile'  의 'WORKDIR'  및 'RUN' 지시문을 평가할 때 ' runc' 는 파일 설명자 누출 공격 및 후속 경로 탐색에 취약합니다. 제공된 경로에 대한 이러한 약한 제어로 인해 컨테이너는 호스트 시스템의 다른 디렉터리에 바인딩되어 호스트 시스템의 다른 리소스에 대한 액세스를 허용할 수 있습니다.

 

> 완화

RHEL(Red Hat Enterprise Linux) 및 OpenShift는 SELinux를 대상 적용 모드로 제공합니다. 이는 컨테이너 프로세스가 호스트 콘텐츠에 액세스하는 것을 방지하고 이 공격을 완화합니다. Dockerfile은 'RUN'  및 'WORKDIR' 지시문에서 검사하여 손상을 나타내는 이스케이프나 악의적인 경로가 없는지 확인할 수 있습니다. 액세스를 제한하고 신뢰할 수 있는 컨테이너 이미지만 사용하면 무단 액세스와 악의적인 공격을 방지하는 데 도움이 될 수 있습니다.

 

 

> 기술적 세부 사항

이 취약점은 'runc'가 Dockerfiles 내에서 'WORKDIR' 지시문을 처리하는 방식에 뿌리를 두고 있습니다 . 'build'  또는 'RUN' 작업 중에 생성된 프로세스에 대한 초기 작업 디렉터리를 지정할 때 'runc'는  특정 권한이 있는 호스트 디렉터리 파일 설명자를 닫기 전에 'rchdir'을 사용하여 디렉터리를 변경합니다 . 이러한 감독으로 인해 공격자는 'WORKDIR' 지시문을 조작하여 잠재적으로 '/proc/self/fd/' 디렉터리를 통해 권한 있는 파일 설명자를 지정할 수 있습니다  . 결과적으로 'runc'가 일반 작업 중에 파일 설명자를 닫은 후에도 액세스 가능한 상태로 유지되어 중요한 호스트 파일에 대한 무단 액세스와 호스트 파일 시스템 내에서 임의 파일 생성이 용이해집니다. 이 결함이 'WORKDIR' 을 처리하는 방식은 상당한 보안 위험을 초래하여 컨테이너 침입과 호스트 운영 체제의 잠재적 손상을 가능하게 합니다.

 

영향을 받는 제품에 대한 업데이트
이러한 Red Hat 제품의 영향을 받는 버전을 실행하는 Red Hat 고객은 오류 데이터가 제공되는 대로 즉시 업데이트하는 것이 좋습니다. 고객은 사용 가능한 업데이트를 즉시 적용하고 적절한 경우 완화 조치를 활성화해야 합니다.

 

- 2/5일 기준으로 RHEL9에 대한 패키지가 나와있는 상태입니다. 

  . https://access.redhat.com/errata/RHSA-2024:0670

 

 

> 참고링크:

- RHSB-2024-001 Leaky Vessels - runc - (CVE-2024-21626)

  . https://access.redhat.com/security/vulnerability/RHSB-2024-001

 

- CVE-2024-21626

  .https://access.redhat.com/security/cve/CVE-2024-21626

 

감사합니다. 

 

1u서버 / APC / DB / defog / DEFOG랙 / dell5820 / dell5820t / dell7920 / dellpoweredge / dellr240 / dellr340 / dellr350 / dellr450 / dellr540 / dellr630 / dellr640 / dellr740 / dellr750 / dellserver / dellt40 / dellt440 / dellt5820 / dell서버 / DELL서버CPU / DELL서버RAID컨트롤러 / DELL서버SAS하드디스크 / DELL서버가격비교 / DELL서버가격비교견적 / DELL서버견적 / DELL서버구매 / DELL서버디스크교체 / DELL서버메모리 / DELL서버펌웨어 / DELL서버하드디스크구매 / dell워크스테이션 / dl20 / dl20gen10 / dl360 / dl360gen10 / dl380 / dl380g10 / dl380gen10 / ECC메모리 / EDFOG랙가격 / ESTSOFT / FIRMWARE / gpu서버 / gpu타워형서버 / HA솔루션 / hpdl20 / hpdl360 / hpdl360gen10 / hpdl380 / hpdl380g10 / HPE / HPE Service Pack for Proliant / HPE SPP / hpedl20 / hpedl20gen10 / hpedl360gen10 / hpe서버 / HPE서버CPU / HPE서버RAID컨트롤러 / HPE서버SAS하드디스크 / HPE서버가격비교 / HPE서버가격비교견적 / HPE서버견적 / HPE서버구매 / HPE서버드라이버설치 / HPE서버디스크교체 / HPE서버메모리 / HPE서버비용 / HPE서버펌웨어 / HPE서버하드디스크구매 / hpgen10 / hpml30 / hpserver / hpz2 / hpz4 / hpz420 / hpz440 / hpz4g4 / hpz640 / hpz6g4 / hpz8g4 / hp마이크로서버 / hp서버 / hp서버800 / hp서버800w / hp서버cto / hp서버pc / HP서버메모리 / hp서버컴퓨터 / HP서버펌웨어 / HP서버하드디스크 / hp워크스테이션 / hp프로라이언트 / HYPER BACKUP / ibm서버 / Intelligent Provisioning / KVM / KVM 기술지원비(비용) / KVM 설치비 / L2스위치 / L3스위치 / LENONO서버SAS하드디스크 / lenovop620 / lenovor650 / LENOVO서버 / LENOVO서버CPU / LENOVO서버RAID컨트롤러 / LENOVO서버가격비교 / LENOVO서버가격비교견적 / LENOVO서버견적 / LENOVO서버구매 / LENOVO서버디스크교체 / LENOVO서버메모리 / LENOVO서버하드디스크구매 / LENOVO펌웨어업데이트 / Linux / ML30 / ml30gen10 / ML350GEN10 / ML360 / MSSQL / MSSQL 기술지원비(비용) / MSSQL 설치비 / MYSQL / MySQL 기술지원비(비용) / MySQL 설치비 / OS설치 / p17079-b21 / poweredger740 / poweredger750 / precision5820 / QUADRO / QUADRO그래픽카드 / r240 / r340 / r440 / r740 / RHEL설치 / RMS랙 / server / serverpc / SOPHOS / SPP / sr250 / sr650 / SYNOLOGY / SYNOLOGY나스 / UPS / UPS기술지원 / UPS납품 / UPS설치 / V3 / Windows서버설치 / z420 / z620 / z840 / z8g4 / 기술지원비(비용) / 나스기술지원 / 나스설치지원 / 네트워크스위치 / 네트워크장비 / 더블테이크 / 데이터베이스 / 델5820 / 델서버 / 델서버비용 / 델서버펌웨어업데이트 / 델워크스테이션 / 델컴퓨터워크스테이션 / 디포그 / 디포그랙 / 디포그랙가격 / 딥러닝pc / 딥러닝서버 / 랙 / 랙(RACK) 기술지원비(비용) / 랙(RACK) 설치비 / 랙납품설치 / 랙설치 / 레노버p620 / 레노버서버 / 레노버워크스테이션 / 레노보서버 / 레노보서버펌웨어 / 레드헷설치 / 리눅스 기술지원비(비용) / 리눅스 설치비 / 리눅스서버 / 리눅스서버설치 / 리눅스서버트러블슈팅 / 리눅스트러블슈팅 / 리욱스 / 미니서버 / 미니서버랙 / 방화벽 / 방화벽 기술지원비(비용) / 방화벽 설치비 / 방화벽엔지니어 / 백업 / 보안솔루션 / 보안솔루션구매 / 보안솔루션설치 / 서버 / 서버 기술지원비(비용) / 서버 랙마운트비용 / 서버 설치비 / 서버 장애조치비용 / 서버CPU / 서버MEMORY / 서버OS설치 / 서버pc / 서버가격 / 서버구매 / 서버기술지원 / 서버납품 / 서버디스크장애처리 / 서버랙 / 서버렉마운트 / 서버메모리 / 서버몬 / 서버몬기술지원 / 서버백업 / 서버보안 / 서버엔지니어 / 서버용pc / 서버용그래픽카드 / 서버용메모리 / 서버용컴퓨터 / 서버용하드디스크 / 서버컴 / 서버컴퓨터 / 서버트러블슈팅 / 서버호스팅 / 소포스 / 스위치 / 스위치 기술지원비(비용) / 스위치 설치비 / 스토리지 / 스토리지 기술지원비(비용) / 스토리지 랙마운트비용 / 스토리지 설치비 / 스토리지 장애조치비용 / 스토리지납품설치 / 스토리지서버 / 시놀로지DS918 / 시놀로지HyperBackup / 시놀로지나스 / 시놀로지나스백업 / 시놀로지하이퍼백업 / 시큐어디스크 / 안랩 / 알약 / 왼도우서버설치 / 우분투설치 / 워크스테이션 / 워크스테이션pc / 워크스테이션컴퓨터 / 윈도우서버 / 윈도우서버2016 / 윈도우서버2019 / 윈도우서버트러블슈팅 / 윈도우즈 기술지원비(비용) / 윈도우즈 설치비 / 이스트소프트 / 이중화솔루션 / 이중화솔루션구매 / 이중화솔루션설치 / 인터넷디스크 / 작업장컴퓨터 / 제온서버 / 젠서버 / 중고서버 / 중고워크스테이션 / 카보나이트 / 카스퍼스키 / 컴퓨터서버 / 쿼드로P400 / 타워형서버 / 페도라설치 / 프로라이언트 / GPU서버 / 미니서버렉 / 서버용PC / 젠서버 / AI서버 / 제온서버 / 서버가격 / 1U서버 / HPDL20Gen10 / HP서버8SFF800W / 가상서버 / 타워형서버 / HPDL360 / HPDL380Gen10 / 컴퓨터서버 / 미디어서버 / 타워서버 / DB서버 / HP서버580 / HP서버파워 / HPDL360Gen10 / 윈도우서버컴퓨터 / XEON서버 / 881457-B21