Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера

В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, выявлена уязвимость (CVE-2021-30465), позволяющая получить доступ из контейнера к основной файловой системе хост-окружения. Через манипуляции с символическими ссылками можно подготовить на вид безобидную конфигурацию контейнера, которая приведёт к bind-монтированию внешней ФС внутри контейнера. Проблема устранена в обновлении runc 1.0.0-rc95.

Для эксплуатации уязвимости атакующий должен иметь возможность запуска контейнеров с дополнительными точками монтирования в конфигурации (например, проблема воспроизводится в окружениях на базе Kubernetes, в которых пользователи могут запускать свои контейнеры). Из-за наличия временного окна между проверкой и использованием точек монтирования на разделы, совместно используемые с другими контейнерами, атакующий может во время запуска контейнера воспользоваться состоянием гонки и подменить используемый при монтировании в контейнере каталог символической ссылкой на область вне корня ФС контейнера.

Источник: opennet.ru