runC符号链接挂载与容器逃逸漏洞(CVE-2021-30465)预警

一、基本情况

近日，国外安全研究人员披露了runC符号链接挂载与容器逃逸漏洞的POC，漏洞CVE编号:CVE-2021-30465。攻击者可利用该漏洞突破虚拟化环境的限制，完成虚拟化逃逸，从而对物理机进行攻击。建议受影响用户及时将runC升级至最新版本进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

二、 漏洞描述

runC是一个通用的标准化容器运行环境，其可以根据开放容器方案生成和运行容器。其被广泛的应用于各种虚拟化环境中，如Kubernets。

当多个容器共享一个卷时，存在一个TOCTTOU（time-of-check-to-time-of-ues）缺陷，该缺陷可以被用于误导runc的挂载目标。攻击者可通过创建一个恶意POD及container，利用符号链接以及条件竞争漏洞，可挂载宿主机目录至 container 中，并最终可能导致容器逃逸。

三、 影响范围

runC <=1.0.0-rc94

四、 安全建议

1.通用修复建议

目前官方已发布针对该漏洞的补丁，建议用户将runC升级到1.0.0-rc95版本。

https://github.com/opencontainers/runc/commit/0ca91f44f1664da834bc61115a849b56d22f595f

2.临时缓解措施

建议启用容器强化机制如LSM（APPArmor/SELinux），但该措施并不会完全阻止该攻击，只能限制攻击者造成的结果。

五、 参考链接

https://github.com/opencontainers/runc/security/advisories/GHSA-c3xm-pvg7-gh7r

https://github.com/opencontainers/runc/releases/tag/v1.0.0-rc95