runc 符号链接挂载与容器逃逸漏洞预警(CVE-2021-30465)

一、概要

近日,华为云关注到业界有安全研究人员披露runc 符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意POD及container,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至 container 中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。

华为云提醒使用runc的用户及时安排自检并做好安全加固。

参考链接:mount destinations can be swapped via symlink-exchange to cause mounts outside the rootfs

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

runc <= 1.0.0-rc94

安全版本:

runc 1.0.0-rc95 

四、漏洞处置

目前官方已在最新的版本中修复了该漏洞,请受影响的用户及时升级:

https://github.com/opencontainers/runc/releases

华为云容器安全服务CGS已具备该逃逸漏洞的预防与逃逸行为检测能力,使用华为云容器安全服务的用户可参考如下操作指导进行配置:

https://support.huaweicloud.com/usermanual-cgs/cgs_01_0019.html

注:修复漏洞前请将资料备份,并进行充分测试。

联系我们

4000888724

在线咨询:点击这里给我发消息

邮件:service@hwc.cn

地址:点击这里成为 → 华为云精英服务商(申请)


Telegram:@ChinaCloud
境外邮件:service@siyi.hk

QR code

添加华为云专属客户经理微信,获取更多华为云优惠信息!

×