針對近期暴露的 runc 容器逃逸漏洞，青云技術團隊一直在密切觀察和研究，同時與大家同步以下信息，希望對大家有所幫助。

什么是 runc

Runc 是一個根據 OCI (Open Container Initiative) 標準構建的并運行容器的底層工具，諸如 Docker，Containerd 以及 CRI-O 都以其為底層核心去處理數據的格式化和序列化。而 Kubernetes 作為容器調度管理平臺基于這些容器運行環境，也受到了此漏洞的影響。

此漏洞（CVE-2021-30465）可能會造成的影響

當前漏洞威脅級別為【嚴重】，所有 runc 1.0.0-rc95 以下的版本均會受到影響，攻擊者可以通過創建惡意 Pod 及 Container，利用符號鏈接以及條件競爭漏洞，可掛載宿主機目錄至 Container 中，最終可能會導致容器逃逸。目前漏洞細節、POC 已公開，風險高。

降低風險以及規避漏洞的建議

• 手動升級 runc 版本升級 runc 至 1.0.0-rc95，可參考官方升級查看 runc 版本：docker-runc -v注意：升級前請做好關鍵數據的備份
• 目前使用 KubeKey 新裝集群且使用 KubeKey 默認安裝的 docker， 其 runc 版本大于 v1.0.0-rc94，不存在該逃逸漏洞的風險，已安裝集群請按漏洞解決方案排查修復。
• 即將發布的 QKE 3.1 版本中，也將包含最新版 runc。
• 在以上配置升級過程中碰到任何問題，您可通過青云線上工單系統獲得青云專業技術支持