runc社區披露了CVE-2023-27561和CVE-2023-28642兩個漏洞,這兩個漏洞被評估為中高危漏洞。
- 漏洞CVE-2023-27561:由于libcontainer包中存在不正確的訪問控制,導致權限升級。如果攻擊者能夠生成兩個具有自定義存儲卷掛載配置的容器,并且可以運行自定義鏡像,就可以在一定條件下完成提權獲取主機權限。該漏洞為CVE-2019-19921的回歸問題。
- 漏洞CVE-2023-28642:當容器內的
/proc
以特定的掛載配置進行符號鏈接時,攻擊者可以繞過AppArmor以及SELinux的限制。該漏洞的修復包含在CVE-2023-27561中。
影響范圍
- 漏洞CVE-2023-27561的runc版本影響范圍:
- ≥1.0.0-rc95
- <1.1.5
- 漏洞CVE-2023-28642的runc版本影響范圍:<1.1.5
社區在runc 1.1.5版本中修復了此漏洞。
防范措施
您可以通過以下措施進行漏洞修復。
- 通過使用ACK安全策略治理的ACKAllowedRepos策略限制并確保僅使用可信鏡像,同時基于最小化權限原則,確保僅可信人員具有導入鏡像的權限。更多信息,請參見配置容器安全策略(新版)。
- 手動升級節點runc至最新版本。關于runc的最新版本信息,請參見runc 1.1.5版本Release公告。