• 漏洞CVE-2023-27561：由于libcontainer包中存在不正確的訪問控制，導致權限升級。如果攻擊者能夠生成兩個具有自定義存儲卷掛載配置的容器，并且可以運行自定義鏡像，就可以在一定條件下完成提權獲取主機權限。該漏洞為CVE-2019-19921的回歸問題。
• 漏洞CVE-2023-28642：當容器內的/proc以特定的掛載配置進行符號鏈接時，攻擊者可以繞過AppArmor以及SELinux的限制。該漏洞的修復包含在CVE-2023-27561中。

影響范圍

• 漏洞CVE-2023-27561的runc版本影響范圍：
  • ≥1.0.0-rc95
  • <1.1.5
• 漏洞CVE-2023-28642的runc版本影響范圍：<1.1.5

社區在runc 1.1.5版本中修復了此漏洞。

防范措施

您可以通過以下措施進行漏洞修復。

• 通過使用ACK安全策略治理的ACKAllowedRepos策略限制并確保僅使用可信鏡像，同時基于最小化權限原則，確保僅可信人員具有導入鏡像的權限。更多信息，請參見配置容器安全策略（新版）。
• 手動升級節點runc至最新版本。關于runc的最新版本信息，請參見runc 1.1.5版本Release公告。