runc 符号链接挂载与容器逃逸漏洞预警（CVE-2021-30465）

2021-06-01

一、概要

近日，华为云关注到业界有安全研究人员披露runc 符号链接挂载与容器逃逸漏洞（CVE-2021-30465），攻击者可通过创建恶意POD及container，利用符号链接以及条件竞争漏洞，可挂载宿主机目录至 container 中，最终可能会导致容器逃逸。目前漏洞细节、POC已公开，风险高。

华为云提醒使用runc的用户及时安排自检并做好安全加固。

参考链接：mount destinations can be swapped via symlink-exchange to cause mounts outside the rootfs

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

runc <= 1.0.0-rc94

安全版本：

runc 1.0.0-rc95 

四、漏洞处置

目前官方已在最新的版本中修复了该漏洞，请受影响的用户及时升级：

https://github.com/opencontainers/runc/releases

华为云容器安全服务CGS已具备该逃逸漏洞的预防与逃逸行为检测能力，使用华为云容器安全的用户可参考操作指导进行配置。

注：修复漏洞前请将资料备份，并进行充分测试。