文档首页> 云容器引擎 CCE> 服务公告> 漏洞公告> runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465)
更新时间:2022-03-22 GMT+08:00
分享

runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465)

近日,华为云关注到业界有安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

披露/发现时间

容器逃逸

CVE-2021-30465

2021-05-31

威胁级别

严重

(说明:威胁级别共四级:一般、重要、严重、紧急)

影响和风险

攻击者可通过创建恶意Pod,挂载宿主机目录至容器中,利用runc的符号链接以及条件竞争漏洞,最终可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。

影响范围

当前CCE集群节点的runc版本均受该漏洞影响。

规避和消减措施

  • 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。
  • 限制容器所拥有的权限。
    • 以非root用户运行
    • 通过capability限制容器拥有的特权,如CAP_DAC_OVERRIDE、CAP_DAC_READ_SEARCH、CAP_SYS_ADMIN等
    • 通过seccomp限制攻击者对宿主机内核的系统调用权限,具体请参见使用Seccomp限制容器的系统调用

解决方法

新创建节点已经解决该漏洞。

您可以先创建新的节点,然后将老节点设置为不可调度,待老节点上应用都调度到新节点上后,删掉老节点或重置老节点。

分享:

    相关文档

    相关产品

关闭导读