用于运行 Docker 和 Kubernetes 中使用的隔离容器的 runc 工具包中已发现一个漏洞 (CVE-2021-30465),该漏洞允许从容器访问主机环境的主文件系统。 通过操作符号链接,可以准备看似无害的容器配置,该配置将导致容器内外部文件系统的绑定安装。 该问题已在 runc 1.0.0-rc95 更新中修复。
要利用此漏洞,攻击者必须能够在配置中运行具有附加挂载点的容器(例如,在用户可以运行其容器的基于 Kubernetes 的环境中重现该问题)。 由于检查和使用与其他容器共享的分区上的挂载点之间存在时间窗口,攻击者可以在容器启动期间利用竞争条件,并使用指向外部区域的符号链接替换挂载容器时使用的目录容器的 FS 根。
来源: opennet.ru
