当前位置:首页 > 漏洞预警 > 正文

runC符号链接挂载与容器逃逸漏洞(CVE-2021-30465)预警

发布时间:2021-06-01 14:29:51,来源:北京奇虎科技有限公司、杭州安恒信息技术股份有限公司、中国信息通信研究院

一、基本情况

近日,国外安全研究人员披露了runC符号链接挂载与容器逃逸漏洞的POC,漏洞CVE编号:CVE-2021-30465。攻击者可利用该漏洞突破虚拟化环境的限制,完成虚拟化逃逸,从而对物理机进行攻击。建议受影响用户及时将runC升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

二、 漏洞描述

runC是一个通用的标准化容器运行环境,其可以根据开放容器方案生成和运行容器。其被广泛的应用于各种虚拟化环境中,如Kubernets。

当多个容器共享一个卷时,存在一个TOCTTOU(time-of-check-to-time-of-ues)缺陷,该缺陷可以被用于误导runc的挂载目标。攻击者可通过创建一个恶意POD及container,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至 container 中,并最终可能导致容器逃逸。

三、 影响范

runC <=1.0.0-rc94

四、 安全建议

1.通用修复建议

目前官方已发布针对该漏洞的补丁,建议用户将runC升级到1.0.0-rc95版本。

https://github.com/opencontainers/runc/commit/0ca91f44f1664da834bc61115a849b56d22f595f

2.临时缓解措施

建议启用容器强化机制如LSM(APPArmor/SELinux),但该措施并不会完全阻止该攻击,只能限制攻击者造成的结果。

五、 参考链接

https://github.com/opencontainers/runc/security/advisories/GHSA-c3xm-pvg7-gh7r

https://github.com/opencontainers/runc/releases/tag/v1.0.0-rc95