服务公告

全部公告 > 安全公告 > runc 符号链接挂载与容器逃逸漏洞预警(CVE-2021-30465)

runc 符号链接挂载与容器逃逸漏洞预警(CVE-2021-30465)

2021-06-01

一、概要

近日,华为云关注到业界有安全研究人员披露runc 符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意POD及container,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至 container 中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。

华为云提醒使用runc的用户及时安排自检并做好安全加固。

参考链接:mount destinations can be swapped via symlink-exchange to cause mounts outside the rootfs

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

runc <= 1.0.0-rc94

安全版本:

runc 1.0.0-rc95 

四、漏洞处置

目前官方已在最新的版本中修复了该漏洞,请受影响的用户及时升级:

https://github.com/opencontainers/runc/releases

华为云容器安全服务CGS已具备该逃逸漏洞的预防与逃逸行为检测能力,使用华为云容器安全服务的用户可参考如下操作指导进行配置:

https://support.huaweicloud.com/usermanual-cgs/cgs_01_0019.html

注:修复漏洞前请将资料备份,并进行充分测试。