高危 runc 符号链接挂载与容器逃逸漏洞（CVE-2021-30465）

CVE编号

CVE-2021-30465

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2021-05-27

漏洞描述

runc是容器Runtime的一个实现，主要作用是使用Linux Kernel提供的如namespaces等进程隔离机制，构建供容器运行的隔离环境。 CVE-2021-30465 中，攻击者可通过创建恶意POD及container，利用符号链接以及条件竞争漏洞，可挂载宿主机目录至 container 中，并最终可导致容器逃逸。漏洞作者已在 谷歌云GKE 复现该漏洞 5月30日，漏洞作者披露相关writeup和POC

解决建议

升级runc至1.0.0-rc95安全版本

参考链接
http://www.openwall.com/lists/oss-security/2021/05/19/2
https://bugzilla.opensuse.org/show_bug.cgi?id=1185405
https://github.com/opencontainers/runc/commit/0ca91f44f1664da834bc61115a849b5...
https://github.com/opencontainers/runc/releases
https://github.com/opencontainers/runc/security/advisories/GHSA-c3xm-pvg7-gh7r
https://lists.debian.org/debian-lts-announce/2023/03/msg00023.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://security.gentoo.org/glsa/202107-26
https://security.netapp.com/advisory/ntap-20210708-0003/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	Google	runc	*		Up to (excluding) 1.0.0-rc95
	运行在以下环境
	系统	alpine_3.12	runc	*		Up to (excluding) 1.0.0_rc95-r0
	运行在以下环境
	系统	alpine_3.13	runc	*		Up to (excluding) 1.0.0_rc95-r0
	运行在以下环境
	系统	alpine_3.14	runc	*		Up to (excluding) 1.0.0_rc95-r0
	运行在以下环境
	系统	alpine_3.15	k3s	*		Up to (excluding) 1.0.0_rc95-r0
	运行在以下环境
	系统	alpine_3.16	k3s	*		Up to (excluding) 1.0.0_rc95-r0
	运行在以下环境
	系统	alpine_3.17	k3s	*		Up to (excluding) 1.0.0_rc95-r0
	运行在以下环境
	系统	alpine_3.18	k3s	*		Up to (excluding) 1.0.0_rc95-r0
	运行在以下环境
	系统	alpine_edge	k3s	*		Up to (excluding) 1.0.0_rc95-r0
	运行在以下环境
	系统	amazon_2	runc	*		Up to (excluding) 1.0.0-0.3.20210225.git12644e6.amzn2
	运行在以下环境
	系统	amazon_AMI	runc	*		Up to (excluding) 1.0.0-0.3.20210225.git12644e6.4.amzn1
	运行在以下环境
	系统	anolis_os_8	toolbox	*		Up to (excluding) 3.0.1-7
	运行在以下环境
	系统	anolis_os_8.2	podman-tests	*		Up to (excluding) 0.2.1-2
	运行在以下环境
	系统	centos_7	runc	*		Up to (excluding) 1.13.1-206.git7d71120.el7_9
	运行在以下环境
	系统	centos_8	fuse-overlayfs-debuginfo	*		Up to (excluding) 3.0.1-7.module+el8.4.0+11311+9da8acfb
	运行在以下环境
	系统	debian_10	runc	*		Up to (excluding) 1.0.0~rc6+dfsg1-3+deb10u2
	运行在以下环境
	系统	debian_11	runc	*		Up to (excluding) 1.0.0~rc93+ds1-5
	运行在以下环境
	系统	debian_12	runc	*		Up to (excluding) 1.0.0~rc93+ds1-5
	运行在以下环境
	系统	debian_9	runc	*		Up to (including) 0.1.1+dfsg1-2+deb9u1
	运行在以下环境
	系统	debian_sid	runc	*		Up to (excluding) 1.0.0~rc93+ds1-5
	运行在以下环境
	系统	fedora_33	runc-debugsource	*		Up to (excluding) 1.0.0-378.rc95.fc33
	运行在以下环境
	系统	fedora_34	runc-debugsource	*		Up to (excluding) 1.0.0-378.rc95.fc34
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	docker-runc	*		Up to (excluding) 1.0.0.rc3-201.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	docker-runc	*		Up to (excluding) 1.0.0.rc3-201.ky10
	运行在以下环境
	系统	opensuse_Leap_15.2	docker-bash-completion	*		Up to (excluding) 20.10.6_ce-lp152.2.12.1
	运行在以下环境
	系统	opensuse_Leap_15.3	docker-bash-completion	*		Up to (excluding) 20.10.9_ce-156.1
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 19.03.11.ol-11.el7
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 3.0.1-7.0.1.module+el8.4.0+20195+0a4a4953
	运行在以下环境
	系统	redhat_7	runc	*		Up to (excluding) 1.13.1-206.git7d71120.el7_9
	运行在以下环境
	系统	redhat_8	fuse-overlayfs-debuginfo	*		Up to (excluding) 3.0.1-7.module+el8.4.0+11311+9da8acfb
	运行在以下环境
	系统	ubuntu_18.04	runc	*		Up to (excluding) 1.0.0~rc93-0ubuntu1~18.04.2
	运行在以下环境
系统	ubuntu_18.04.5_lts	runc	*		Up to (excluding) 1.0.0~rc93-0ubuntu1~18.04.2
运行在以下环境
系统	ubuntu_20.04	runc	*		Up to (excluding) 1.0.0~rc93-0ubuntu1~20.04.2
运行在以下环境
系统	ubuntu_21.04	runc	*		Up to (excluding) 1.0.0~rc93-0ubuntu1.1
运行在以下环境
系统	ubuntu_21.10	runc	*		Up to (excluding) 1.0.0~rc93-0ubuntu2
运行在以下环境
系统	ubuntu_22.04	runc	*		Up to (excluding) 1.0.0~rc93-0ubuntu2
运行在以下环境
系统	unionos_d	runc	*		Up to (excluding) 1.0.0.1-deepin1

阿里云评分 7.5

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 全局影响
• EXP成熟度 POC 已公开
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 服务器失陷
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-22	对路径名的限制不恰当（路径遍历）
CWE-362	使用共享资源的并发执行不恰当同步问题（竞争条件）

Exp相关链接

• http://blog.champtar.fr/runc-symlink-CVE-2021-30465/

- avd.aliyun.com