runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465)最佳实践
背景信息
近日,华为云关注到业界有安全研究人员披露runc 符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意POD及container,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至 container 中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。
华为云提醒使用runc的用户及时安排自检并做好安全加固。
漏洞编号
CVE-2021-30465
漏洞名称
runc符号链接挂载与容器逃逸漏洞
影响范围
- 影响版本:runc <= 1.0.0-rc94
- 安全版本:runc 1.0.0-rc95
检测与解决方案
华为云容器安全服务(CGS)支持对该逃逸漏洞的预防与逃逸行为监测能力。
CGS实时监测容器集群节点中的容器运行状,并对异常事件进行告警和提供解决方案。
- 检测周期
实时检测
- 检测原理
详细的检测原理,请参见:运行时安全漏洞检测原理说明。
- 查看检测详情
进入“运行时安全”界面,查看容器逃逸异常监控趋势图和异常事件列表,详情请参见图1,您还可以根据异常事件列表提供的解决方案处理异常事件。
- 逃逸预防监测:选择“容器环境检测”页签查看详细信息。
- 逃逸行为监测:选择“逃逸检测”页签查看详细信息。