runc社区披露了CVE-2023-27561和CVE-2023-28642两个漏洞,这两个漏洞被评估为中高危漏洞。
- 漏洞CVE-2023-27561:由于libcontainer包中存在不正确的访问控制,导致权限升级。如果攻击者能够生成两个具有自定义存储卷挂载配置的容器,并且可以运行自定义镜像,就可以在一定条件下完成提权获取主机权限。该漏洞为CVE-2019-19921的回归问题。
- 漏洞CVE-2023-28642:当容器内的
/proc
以特定的挂载配置进行符号链接时,攻击者可以绕过AppArmor以及SELinux的限制。该漏洞的修复包含在CVE-2023-27561中。
影响范围
- 漏洞CVE-2023-27561的runc版本影响范围:
- ≥1.0.0-rc95
- <1.1.5
- 漏洞CVE-2023-28642的runc版本影响范围:<1.1.5
社区在runc 1.1.5版本中修复了此漏洞。
防范措施
您可以通过以下措施进行漏洞修复。
- 通过使用ACK安全策略治理的ACKAllowedRepos策略限制并确保仅使用可信镜像,同时基于最小化权限原则,确保仅可信人员具有导入镜像的权限。更多信息,请参见配置容器安全策略(新版)。
- 手动升级节点runc至最新版本。关于runc的最新版本信息,请参见runc 1.1.5版本Release公告。