文档首页/ 容器安全服务 CGS/ 最佳实践/ runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465)最佳实践
更新时间:2022-04-01 GMT+08:00
分享

runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465)最佳实践

背景信息

近日,华为云关注到业界有安全研究人员披露runc 符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意POD及container,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至 container 中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。

华为云提醒使用runc的用户及时安排自检并做好安全加固。

漏洞编号

CVE-2021-30465

漏洞名称

runc符号链接挂载与容器逃逸漏洞

影响范围

  • 影响版本:runc <= 1.0.0-rc94
  • 安全版本:runc 1.0.0-rc95

官方解决方案

目前官方已在最新的版本中修复了该漏洞,请受影响的用户及时升级安全版本。

下载地址:https://github.com/opencontainers/runc/releases

检测与解决方案

华为云容器安全服务(CGS)支持对该逃逸漏洞的预防与逃逸行为监测能力。

CGS实时监测容器集群节点中的容器运行状,并对异常事件进行告警和提供解决方案。

  • 检测周期

    实时检测

  • 检测原理

    详细的检测原理,请参见:运行时安全漏洞检测原理说明

  • 查看检测详情

    进入“运行时安全”界面,查看容器逃逸异常监控趋势图和异常事件列表,详情请参见图1,您还可以根据异常事件列表提供的解决方案处理异常事件。

    • 逃逸预防监测:选择“容器环境检测”页签查看详细信息。
    • 逃逸行为监测:选择“逃逸检测”页签查看详细信息。
      图1 运行时安全检测结果

相关文档