Docker Runc容器逃逸漏洞（CVE-2021-30465）离线修复

一、漏洞描述

1、漏洞描述

      runc是一个轻量级通用容器运行环境，它允许一个简化的探针到运行和调试的底层容器的功能，不需要整个docker守护进程的接口。 runc存在容器逃逸漏洞，该漏洞是由于挂载卷时，runc不信任目标参数，并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中，但是如果用符号链接替换检查的目标文件时，可以将主机文件挂载到容器中。攻击者可利用该漏洞在未授权的情况下，构造恶意数据造成容器逃逸，最终造成服务器敏感性信息泄露。

2、影响版本

runc <= 1.0.0-rc94

4、安全版本

runc 1.0.0-rc95

5、修复建议

   ​     将 runc 升级到最新版本，优先通过操作系统包管理器安装新版本进行漏洞修复。
如果采取替换runc二进制文件进行漏洞修复，针对不同的操作系统发行版，需要替换对应操作系统发行版提供的runc二进制文件。如：
redhat : https://access.redhat.com/security/cve/cve-2021-30465
ubuntu : https://ubuntu.com/security/CVE-2021-30465
debian : https://security-tracker.debian.org/tracker/CVE-2021-30465
runc官方下载链接：https://github.com/opencontainers/runc/releases/

二、漏洞修复

1.下载离线包

https://github.com/opencontainers/runc/releases?page=2

下载runc 1.0-rc95 runc.amd64

 

1. 检查runc版本（此服务器为在线拉取的docker版本高于修复版本仅做演示）

runc -verison

3 .查看runc安装路径

which docker-runc

1. 备份runc

cd /usr/bin/
mv /usr/bin/runc /tmp/runc.bak  #移动原有runc文件到指定目录

1. 替换二进制文件，将文件上传至docker runc目录下，默认目录为/usr/bin/

mv runc.amd64 runc && chmod +x runc

6.检查runc版本

runc -verison