Nei cgroups v1 di Linux, release_agent è un'impostazione lato host che può eseguire un comando quando un cgroup diventa vuoto. È stato progettato per la pulizia e le notifiche, ma è sensibile dal punto di vista della sicurezza perché può attivare l'esecuzione sull'host, non all'interno del container o del processo che ha creato il cgroup.
Questo è importante nella sicurezza informatica perché un errore nell'autorizzazione relativa a release_agent può trasformare un punto d'appoggio limitato in escalation dei privilegi o fuga dal container. Gli aggressori cercano modi per scrivere sull'impostazione, creare un cgroup vuoto e indurre il kernel ad avviare un percorso di comando controllato dall'attaccante. I difensori riducono il rischio applicando patch al kernel, limitando l'accesso ai cgroups v1 legacy, evitando un'esposizione non necessaria di CAP_SYS_ADMIN e monitorando modifiche inattese a release_agent o attività insolite di pulizia dei cgroup.