一、背景:
2021年5月31日,阿里云应急响应中心监测到国外安全研究人员披露 CVE-2021-30465 runc 符号链接挂载与容器逃逸漏洞。
1、漏洞描述
runc是容器Runtime的一个实现,主要作用是使用Linux Kernel提供的如namespaces等进程隔离机制,构建供容器运行的隔离环境。CVE-2021-30465 中,攻击者可通过创建恶意POD及container,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至 container 中,并最终可能导致容器逃逸。阿里云应急响应中心提醒 runc 用户尽快采取安全措施阻止漏洞攻击。
2、漏洞评级
CVE-2021-30465 runc 符号链接挂载与容器逃逸漏洞-高危
3、影响版本
runc <= 1.0.0-rc94
4、安全版本
runc 1.0.0-rc95
5、安全建议
升级 runc 至安全版本
6、修复链接
二、docker runc升级
1、下载安全版本的runc到本地电脑
下载地址:
https://github.com/opencontainers/runc/releases/download/v1.0.0-rc95/runc.amd64
2、 将下载好的runc.amd64文件上传到服务器、修改文件名并赋权
mv runc.amd64 runc && chmod +x runc
3、 备份原有的runc
mv /usr/bin/runc /home/runcbak
4、停止docker
systemctl stop docker
5、替换新版本runc
cp runc /usr/bin/runc
6、 启动docker
systemctl start docker
7 、检查runc是否升级成功
执行docker version命令,发现runc Version为1.0.0-rc95代表runc升级成功。