runc符号链接挂载与容器逃逸漏洞（CVE-2021-30465）最佳实践

背景信息

近日，华为云关注到业界有安全研究人员披露runc 符号链接挂载与容器逃逸漏洞（CVE-2021-30465），攻击者可通过创建恶意POD及container，利用符号链接以及条件竞争漏洞，可挂载宿主机目录至 container 中，最终可能会导致容器逃逸。目前漏洞细节、POC已公开，风险高。

漏洞编号

CVE-2021-30465

漏洞名称

runc符号链接挂载与容器逃逸漏洞

影响范围

• 影响版本：runc <= 1.0.0-rc94
• 安全版本：runc 1.0.0-rc95

官方解决方案

目前官方已在最新的版本中修复了该漏洞，请受影响的用户及时升级安全版本。

下载地址：https://github.com/opencontainers/runc/releases。

检测与解决方案

华为云容器安全服务（CGS）支持对该逃逸漏洞的预防与逃逸行为监测能力。

CGS实时监测容器集群节点中的容器运行状，并对异常事件进行告警和提供解决方案。

• 检测周期

  实时检测

• 检测原理

  详细的检测原理，请参见：运行时安全漏洞检测原理说明。

• 查看检测详情

  进入“运行时安全”界面，查看容器逃逸异常监控趋势图和异常事件列表，详情请参见图1，您还可以根据异常事件列表提供的解决方案处理异常事件。

  • 逃逸预防监测：选择“容器环境检测”页签查看详细信息。
  • 逃逸行为监测：选择“逃逸检测”页签查看详细信息。
    图1 运行时安全检测结果