runc符号链接挂载与容器逃逸漏洞安全预警

　　【漏洞详情】

　　runc是一个通用的标准化容器运行环境，其可以根据开放容器方案生成和运行容器。其被广泛的应用于各种虚拟化环境中，如Kubernets。成功利用该漏洞的攻击者可以突破虚拟化环境的限制，完成虚拟化逃逸，从对物理机进行攻击。

　　docker底层都是使用的runc。CVE-2021-30465 中，攻击者可通过创建恶意POD及container，利用符号链接以及条件竞争漏洞，可挂载宿主机目录至 container 中，并最终可能导致容器逃逸。平安云安全中心提醒有使用容器的用户尽快采取安全措施阻止漏洞攻击。

　　【风险评级】

　　高危

　　【影响范围】

　　runc <= 1.0.0-rc94

　　【修复建议】

　　目前官方已发布针对该漏洞的补丁，建议用户将runc升级到1.0.0-rc95版本。

　　升级 runc 至最新版本--runc 1.0.0-rc95

　　【参考链接】

　　https://github.com/opencontainers/runc/security/advisories/GHSA-c3xm-pvg7-gh7r

　　http://blog.champtar.fr/runc-symlink-CVE-2021-30465/

　　安全狗特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。同时使用安全狗云磐服务提升安全等级。