漏洞CVE-2023-27561和CVE-2023-28642公告

• 漏洞CVE-2023-27561：由于libcontainer包中存在不正确的访问控制，导致权限升级。如果攻击者能够生成两个具有自定义存储卷挂载配置的容器，并且可以运行自定义镜像，就可以在一定条件下完成提权获取主机权限。该漏洞为CVE-2019-19921的回归问题。
• 漏洞CVE-2023-28642：当容器内的/proc以特定的挂载配置进行符号链接时，攻击者可以绕过AppArmor以及SELinux的限制。该漏洞的修复包含在CVE-2023-27561中。

影响范围

• 漏洞CVE-2023-27561的runc版本影响范围：
  • ≥1.0.0-rc95
  • <1.1.5
• 漏洞CVE-2023-28642的runc版本影响范围：<1.1.5

社区在runc 1.1.5版本中修复了此漏洞。

防范措施

您可以通过以下措施进行漏洞修复。

• 通过使用ACK安全策略治理的ACKAllowedRepos策略限制并确保仅使用可信镜像，同时基于最小化权限原则，确保仅可信人员具有导入镜像的权限。更多信息，请参见配置容器安全策略（新版）。
• 手动升级节点runc至最新版本。关于runc的最新版本信息，请参见runc 1.1.5版本Release公告。