針對近期暴露的 runc 容器逃逸漏洞，青云技術團隊一直在密切觀察和研究，同時與大家同步以下信息，希望對大家有所幫助。

什么是 runc

Runc 是一個根據(jù) OCI (Open Container Initiative) 標準構建的并運行容器的底層工具，諸如 Docker，Containerd 以及 CRI-O 都以其為底層核心去處理數(shù)據(jù)的格式化和序列化。而 Kubernetes 作為容器調度管理平臺基于這些容器運行環(huán)境，也受到了此漏洞的影響。

此漏洞（CVE-2021-30465）可能會造成的影響

當前漏洞威脅級別為【嚴重】，所有 runc 1.0.0-rc95 以下的版本均會受到影響，攻擊者可以通過創(chuàng)建惡意 Pod 及 Container，利用符號鏈接以及條件競爭漏洞，可掛載宿主機目錄至 Container 中，最終可能會導致容器逃逸。目前漏洞細節(jié)、POC 已公開，風險高。

降低風險以及規(guī)避漏洞的建議

• 手動升級 runc 版本升級 runc 至 1.0.0-rc95，可參考官方升級查看 runc 版本：docker-runc -v注意：升級前請做好關鍵數(shù)據(jù)的備份
• 目前使用 KubeKey 新裝集群且使用 KubeKey 默認安裝的 docker， 其 runc 版本大于 v1.0.0-rc94，不存在該逃逸漏洞的風險，已安裝集群請按漏洞解決方案排查修復。
• 即將發(fā)布的 QKE 3.1 版本中，也將包含最新版 runc。
• 在以上配置升級過程中碰到任何問題，您可通過青云線上工單系統(tǒng)獲得青云專業(yè)技術支持