数据面临风险：“泄漏船只”漏洞威胁集装箱安全

　　Snyk 公司在虚拟化系统中发现了四个漏洞，统称为 Leaky Vessels。这些缺陷使恶意分子能够突破隔离容器的限制并访问主机操作系统上的数据。

　　容器将应用程序与所有必要的依赖项、可执行文件和操作代码封装在一起，这些应用程序在与操作系统分开的虚拟化环境中运行。当攻击者或恶意应用程序绕过此隔离，获得对主机系统或其他容器的未经授权的访问时，就会发生容器逃逸漏洞。

　　这些漏洞会影响容器基础设施以及构建工具 runc 和 Buildkit，可能允许攻击者对各种软件产品执行容器逃逸攻击。鉴于 runc 和 Buildkit 在 Docker 和 Kubernetes 等流行的容器管理软件中的广泛使用，攻击的风险显着增加。

　　Leaky Vessels 漏洞包括：

　　• CVE-2024-21626(CVSS 评分：8.6)：runc 命令执行顺序存在缺陷，允许黑客退出容器的隔离环境并未经授权访问主机操作系统。

　　• CVE-2024-23651(CVSS 评分：8.7)：Buildkit 挂载缓存处理中的一种争用条件，可导致不可预知的行为，并可能使攻击者能够操纵该进程进行未经授权的访问。

　　• CVE-2024-23652(CVSS 评分：10.0)：允许在 Buildkit 的容器反汇编阶段任意删除文件或目录的漏洞，可能导致服务拒绝、数据损坏或未经授权的数据操纵。

　　• CVE-2024-23653(CVSS 评分：9.8)：由于 Buildkit 的 GRPC 接口中权限验证不足而导致的漏洞，使网络犯罪分子能够执行超出其权限的操作，从而导致权限升级或未经授权访问机密数据。

　　2024 年 1 月 31 日，Buildkit 发布了 0.12.5 版本的漏洞修复，runc 发布了 1.1.12 版本的安全问题。Docker 还发布了 4.27.0 版本，包括其 Moby 引擎中组件的安全版本。

　　Amazon Web Services (AWS)、Google Cloud 和 Ubuntu 发布了相关的安全公告，建议采取措施缓解软件和服务中的漏洞。CISA机构也发出警告，敦促云系统管理员采取适当措施保护其系统免受潜在利用。