监测发现,runc符号链接挂载与容器存在逃逸漏洞,攻击者可以通过创建一个恶意的POD及container,将宿主机的目录挂载至container中,最终完成虚拟化逃逸。
漏洞名称:runc符号链接挂载与容器逃逸漏洞
危害级别:高
影响产品:open containers:runc: <=1.0.0-rc94
漏洞描述:runc是一个通用的标准化容器运行环境,其可以根据开放容器方案生成和运行容器。其被广泛的应用于各种虚拟化环境中,如Kubernets。成功利用该漏洞的攻击者可以突破虚拟化环境的限制,完成虚拟化逃逸,对物理机进行攻击。攻击者可以通过创建一个恶意的POD及container,将宿主机的目录挂载至container中,最终完成虚拟化逃逸。
解决方案:厂家已发布漏洞修补补丁,建议及时更新至最新版本。
参考链接:https://github.com/opencontainers/runc/commit/0ca91f44f1664da834bc61115a849b56d22f595f
