文档首页/ 云容器引擎 CCE/ 服务公告/ 漏洞公告/ runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465)
更新时间:2024-07-03 GMT+08:00
分享

runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465)

漏洞详情

业界安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

容器逃逸

CVE-2021-30465

2021-05-31

漏洞影响

当runc版本<=1.0.0-rc94时存在符号链接挂载与容器逃逸漏洞,攻击者可通过创建恶意Pod,挂载宿主机目录至容器中,利用runc的符号链接以及条件竞争漏洞,最终可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。

您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。

漏洞处理方案

  • 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。
  • 限制容器所拥有的权限。
    • 以非root用户运行
    • 通过capability限制容器拥有的特权,如CAP_DAC_OVERRIDE、CAP_DAC_READ_SEARCH、CAP_SYS_ADMIN等
    • 通过seccomp限制攻击者对宿主机内核的系统调用权限,具体请参见使用Seccomp限制容器的系统调用

CCE新创建节点已经解决该漏洞。

您可以先创建新的节点,然后将老节点设置为不可调度,待老节点上应用都调度到新节点上后,删掉老节点或重置老节点。

相关文档