runc的主要作用是使用LinuxKernel提供的诸如namespaces,cgroup等进程隔离机制以及SELinux等security功能,构建供容器运行的隔离环境,从而保证主机的安全。
runc是一个轻量级通用容器运行环境,它允许一个简化的探针到运行和调试的底层容器的功能,不需要整个docker守护进程的接口。runc可面向有安全需求的公司等部署大型docker集群,在GitHub上的订阅量为+,使用量较大。
该漏洞是由于挂载卷时,runc不信任目标参数,并将使用“filepath-securejoin”库来解析任何符号链接并确保解析的目标在容器根目录中,但是如果用符号链接替换检查的目标文件时,可以将主机文件挂载到容器中。攻击者可利用该漏洞在未授权的情况下,构造恶意数据造成容器逃逸,最终造成服务器敏感性信息泄露。
目前受影响的runc版本:runc=1.0.0-rc94
漏洞编号:CVE--
2漏洞复现2.1环境搭建复现环境:
虚拟机:vmwareworkstation16linux发行版:Centos7.4.个CPU2G内存linux内核(使用uname-r查看):3.10.0-.el7.x86_64ip(master):...Docker:19.03.14runc:1.0.0-rc10K8S:1.18..1.1安装Docker-ce19.03.14
#wget