docker runc升级(解决CVE-2021-30465漏洞)

一、背景:

2021年5月31日,阿里云应急响应中心监测到国外安全研究人员披露 CVE-2021-30465 runc 符号链接挂载与容器逃逸漏洞。
1、漏洞描述
runc是容器Runtime的一个实现,主要作用是使用Linux Kernel提供的如namespaces等进程隔离机制,构建供容器运行的隔离环境。CVE-2021-30465 中,攻击者可通过创建恶意POD及container,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至 container 中,并最终可能导致容器逃逸。阿里云应急响应中心提醒 runc 用户尽快采取安全措施阻止漏洞攻击。
2、漏洞评级
CVE-2021-30465 runc 符号链接挂载与容器逃逸漏洞-高危
3、影响版本
runc <= 1.0.0-rc94
4、安全版本
runc 1.0.0-rc95
5、安全建议
升级 runc 至安全版本
6、修复链接
 
二、docker runc升级

1、下载安全版本的runc到本地电脑

下载地址:

https://github.com/opencontainers/runc/releases/download/v1.0.0-rc95/runc.amd64

2、 将下载好的runc.amd64文件上传到服务器、修改文件名并赋权

mv runc.amd64 runc && chmod +x runc

3、 备份原有的runc

mv /usr/bin/runc /home/runcbak

4、停止docker

systemctl stop docker

5、替换新版本runc

cp runc /usr/bin/runc

6、 启动docker

systemctl start docker

7 、检查runc是否升级成功

执行docker version命令,发现runc Version为1.0.0-rc95代表runc升级成功。

posted @ 2021-06-08 15:50  人艰不拆_zmc  阅读(8315)  评论(2编辑  收藏  举报