runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465)
漏洞详情
业界安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
容器逃逸 |
高 |
2021-05-31 |
漏洞影响
当runc版本<=1.0.0-rc94时存在符号链接挂载与容器逃逸漏洞,攻击者可通过创建恶意Pod,挂载宿主机目录至容器中,利用runc的符号链接以及条件竞争漏洞,最终可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。
您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。
漏洞处理方案
- 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。
- 限制容器所拥有的权限。
- 以非root用户运行
- 通过capability限制容器拥有的特权,如CAP_DAC_OVERRIDE、CAP_DAC_READ_SEARCH、CAP_SYS_ADMIN等
- 通过seccomp限制攻击者对宿主机内核的系统调用权限,具体请参见使用Seccomp限制容器的系统调用。
CCE新创建节点已经解决该漏洞。
您可以先创建新的节点,然后将老节点设置为不可调度,待老节点上应用都调度到新节点上后,删掉老节点或重置老节点。