취약점 개요
runc(컨테이너 런타임)의 file descriptor 처리 로직 결함으로 컨테이너에서 호스트로 탈출 가능한 취약점
https://nvd.nist.gov/vuln/detail/cve-2024-21626
NVD - cve-2024-21626
CVE-2024-21626 Detail Modified This CVE record has been updated after NVD enrichment efforts were completed. Enrichment data supplied by the NVD may require amendment due to these changes. Current Description runc is a CLI tool for spawning and running con
nvd.nist.gov
영향 범위
- runc < 1.1.12
- Docker Engine < 25.0.2
- Kubernetes 사용 환경
공격 시나리오
공격자가 특수하게 조작된 컨테이너 이미지를 실행하면, runc의 /proc/self/exe 처리 과정에서 호스트 파일시스템에 접근 가능함
환경 점검
1. 버전 확인
runc --version
docker version2. 취약점 여부 판단
- 프로덕션: runc 1.1.10 (취약)
- 스테이징: runc 1.1.12 (안전)
3. 긴급도 평가
- 외부 이미지 사용: 제한적
- 멀티테넌시: 없음
- 우선순위: High (1주 내 패치)
대응 조치
- 신뢰할 수 없는 이미지 실행 금지
- 컨테이너 권한 최소화 (--cap-drop)
- 네트워크 격리 강화
패치 적용
# runc 업그레이드
apt-get update
apt-get install runc=1.1.12
# Docker 업그레이드
apt-get install docker-ce=25.0.2검증
- 기존 컨테이너 재시작 후 동작 확인
- 보안 스캔 도구로 재검증
결론
- 컨테이너 = 완벽한 격리 X
- 런타임 업데이트 모니터링 필수
- 최소 권한 원칙 준수
'실무 경험 > 기술 트렌드 & 리뷰' 카테고리의 다른 글
| Linux 7.0, PostgreSQL 의 성능 저하 - 커널 프리엠션 모델 변경 이슈 (0) | 2026.04.13 |
|---|---|
| 오픈소스의 문서가 부실한 이유와 방대한 이유 (0) | 2025.04.29 |
| 번역: 모든 DB는 머지않아 벡터 데이터베이스가 될 것이다 (0) | 2023.10.11 |
| [번역] Laravel 은 지구상에서 가장 행복한 개발자 커뮤니티인가? (0) | 2023.08.18 |
