V orodju runc, ki se uporablja v Dockerju in Kubernetes za zagon izoliranih vsebnikov, je bila odkrita ranljivost (CVE-2021-30465). Ta ranljivost omogoča dostop do osnovnega datotečnega sistema gostitelja znotraj vsebnika. Z manipulacijo simboličnih povezav je mogoče ustvariti na videz neškodljivo konfiguracijo vsebnika, ki povzroči vezavo zunanjega datotečnega sistema znotraj vsebnika. Težava je odpravljena v različici runc 1.0.0-rc95.
Da bi napadalec izkoristil to ranljivost, mora biti sposoben zagnati vsebnike z dodatnimi točkami priklopa v konfiguraciji (težava se na primer lahko ponovi v okoljih, ki temeljijo na Kubernetes, kjer lahko uporabniki zaženejo lastne vsebnike). Zaradi časovnega okna med preverjanjem in uporabo točk priklopa na particijah, ki so v skupni rabi z drugimi vsebniki, lahko napadalec med zagonom vsebnika izkoristi stanje tekme in imenik, ki se uporablja za priklop vsebnika, zamenja s simbolno povezavo, ki kaže na območje zunaj korenskega datotečnega sistema vsebnika.
Vir: opennet.ru
