一、漏洞详情
runC是一个通用的标准化容器运行环境,其可以根据开放容器方案生成和运行容器。其被广泛的应用于各种虚拟化环境中。
当多个容器共享一个卷时,存在一个TOCTTOU(time-of-check-to-time-of-ues)缺陷,该缺陷可以被用于误导runc的挂载目标。攻击者可通过创建一个恶意POD及container,利用符号链接以及条件竞争漏洞,挂载宿主机目录至 container 中,并最终可能导致容器逃逸,对物理机进行攻击。
二、影响范围
runC <=1.0.0-rc94
三、修复建议
1.通用修复建议
目前官方已发布针对该漏洞的补丁,建议用户将runC升级到1.0.0-rc95版本。
https://github.com/opencontainers/runc/commit/0ca91f44f1664da834bc61115a849b56d22f595f
2.临时缓解措施
建议启用容器强化机制如LSM(APPArmor/SELinux),但该措施并不会完全阻止该攻击,只能限制攻击者造成的结果。