runc 符号链接挂载与容器逃逸漏洞预警（CVE-2021-30465）

runC是一个根据OCI（Open Container Initiative）标准创建并运行容器的CLI工具，目前Docker引擎内部也是基于runc构建的。 2019年2月11日，研究人员通过oss-security邮件列表（https://www.openwall.com/list… ）披露了runc容器逃逸漏洞的详情，根据OpenWall的规定EXP会在7天后也就是2019年2月18日公开。

此漏洞允许以root身份运行的容器以特权用户身份在主机上执行任意代码。实际上，这意味着容器可能会破坏Docker主机（覆盖Runc CLI），而所需要的只是能够使用root来运行容器。攻击者可以使用受感染的Docker镜像或对未受感染的正在运行的容器运行exec命令。针对此问题的已知缓解措施包括：

• 使用只读主机文件系统运行
• 运行用户命名空间
• 不在容器中运行root
• 正确配置的AppArmor / SELinux策略（当前的默认策略不够）

 

 

 

Rancher团队第一时间响应

---

收到披露邮件后，RancherOS团队立刻尝试编写了攻击脚本，在一个普通容器中运行一个非常简单的脚本就完成了对主机的攻击，将主机上的runc替换成了其他程序。

漏洞披露后，Docker在第一时间发布了18.09.2，用户可升级到此版本以修复该漏洞。Rancher Labs研发团队同样第一时间响应，发布了Rancher v2.1.6、v2.0.11和v1.6.26，这三个新版本Rancher支持Docker刚刚发布的18.09.2，Rancher用户可以升级Docker版本以防止被该安全漏洞影响。

 

 

无法升级Docker版本怎么办

---

通常由于各种因素，很多用户的生产环境并不容易升级太新的Docker版本。

为了帮助无法按照Docker官方建议升级至最新版Docker 18.09.2的用户解决此次问题，Rancher Labs团队更进一步，已经将修复程序反向移植到所有版本的Docker，为Docker 1.12.6、1.13.1、17.03.2、17.06.2、17.09.1、18.03.1和18.06.1提供补丁，修复这次漏洞！相关修补程序以及安装说明，请参考：

https://github.com/rancher/ru…。

容器服务 Runc 漏洞（CVE-2021-30465）修复说明-动态与公告-文档中心-腾讯云漏洞详情组件：runc漏洞名称：runc路径遍历漏洞CVE编号：CVE-2021-30465修复策略：将runc升级到1.0.0-rc95及以上版本。修复进展TKE在2021年9月对增量节点完成了该漏https://cloud.tencent.com/document/product/457/72048