runc 符号链接挂载与容器逃逸漏洞预警(CVE-2021-30465)

runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI工具,目前Docker引擎内部也是基于runc构建的。 2019年2月11日,研究人员通过oss-security邮件列表(https://www.openwall.com/list… )披露了runc容器逃逸漏洞的详情,根据OpenWall的规定EXP会在7天后也就是2019年2月18日公开。

此漏洞允许以root身份运行的容器以特权用户身份在主机上执行任意代码。实际上,这意味着容器可能会破坏Docker主机(覆盖Runc CLI),而所需要的只是能够使用root来运行容器。攻击者可以使用受感染的Docker镜像或对未受感染的正在运行的容器运行exec命令。针对此问题的已知缓解措施包括:

  • 使用只读主机文件系统运行
  • 运行用户命名空间
  • 不在容器中运行root
  • 正确配置的AppArmor / SELinux策略(当前的默认策略不够)

 

 

 

Rancher团队第一时间响应


收到披露邮件后,RancherOS团队立刻尝试编写了攻击脚本,在一个普通容器中运行一个非常简单的脚本就完成了对主机的攻击,将主机上的runc替换成了其他程序。

漏洞披露后,Docker在第一时间发布了18.09.2,用户可升级到此版本以修复该漏洞。Rancher Labs研发团队同样第一时间响应,发布了Rancher v2.1.6、v2.0.11和v1.6.26,这三个新版本Rancher支持Docker刚刚发布的18.09.2,Rancher用户可以升级Docker版本以防止被该安全漏洞影响。

 

 

无法升级Docker版本怎么办


通常由于各种因素,很多用户的生产环境并不容易升级太新的Docker版本。

为了帮助无法按照Docker官方建议升级至最新版Docker 18.09.2的用户解决此次问题,Rancher Labs团队更进一步,已经将修复程序反向移植到所有版本的Docker,为Docker 1.12.6、1.13.1、17.03.2、17.06.2、17.09.1、18.03.1和18.06.1提供补丁,修复这次漏洞!相关修补程序以及安装说明,请参考:

https://github.com/rancher/ru…。

容器服务 Runc 漏洞(CVE-2021-30465)修复说明-动态与公告-文档中心-腾讯云漏洞详情组件:runc漏洞名称:runc路径遍历漏洞CVE编号:CVE-2021-30465修复策略:将runc升级到1.0.0-rc95及以上版本。修复进展TKE在2021年9月对增量节点完成了该漏icon-default.png?t=M5H6https://cloud.tencent.com/document/product/457/72048 

你可能感兴趣的:(Kubernetes,规划与部署,docker)