runc < 1.2.0-rc.1
中的 systemd 属性注入漏洞是一个与 Kubernetes 相关的安全问题。在 Kubernetes 中,CRI-O(容器运行时接口)是用于与容器运行时(如 runc)交互的组件。runc 则是用于创建和运行容器的实际工具。
该漏洞允许攻击者在受影响版本的 runc 中,通过在 Pod 注解中注入恶意的 systemd 属性(如 ExecStartPre、ExecStart、ExecReload 等),从而在宿主系统中执行任意操作。这主要是因为 runc 在这些版本中未对 Pod 注解进行有效的过滤。
为了修复这个漏洞,补丁版本通过配置黑名单 PotentiallyUnsafeConfigAnnotations
来阻止恶意的 systemd 属性注入。这意味着在更新到安全版本的 runc 后,通过配置这个黑名单,系统可以阻止具有潜在危险的注解被执行。
为了防范此类漏洞,用户应该确保他们的 Kubernetes 集群和相关的容器运行时组件(如 runc)都更新到最新的安全版本,并关注相关的安全公告和建议。此外,实施严格的安全策略和最佳实践,如最小权限原则、限制对敏感资源的访问以及定期审计和监控,也是防范此类攻击的重要手段。