runc 符号链接挂载与容器逃逸漏洞解决方案
一、漏洞概述
1、漏洞描述
runc是容器Runtime的一个实现,主要作用是使用Linux Kernel提供的如namespaces等进程隔离机制,构建供容器运行的隔离环境。CVE-2021-30465 中,攻击者可通过创建恶意POD及container,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至 container 中,并最终可能导致容器逃逸。
2、漏洞评级
CVE-2021-30465 runc 符号链接挂载与容器逃逸漏洞-高危
3、影响版本
runc <= 1.0.0-rc94
4、安全版本
runc 1.0.0-rc95
5、安全建议
升级 runc 至安全版本
二、具体步骤
1、下载runc,地址:
Releases · opencontainers/runc · GitHub
2、将下载好的runc.amd64文件上传到服务器、修改文件名并赋权
mv runc.amd64 runc && chmod +x runc
3、备份原有的runc
mv /usr/bin/runc /home/runcbak
4、停止docker
systemctl stop docker
5、替换新版本runc
cp runc /usr/bin/runc
6、检查runc是否升级成功
/usr/bin/runc –version
7、启动docker
systemctl start docker
浙公网安备 33010602011771号