• 我的位置:
  • 首頁(yè)
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • Containerd容器逃逸漏洞
    • CNNVD編號(hào):未知
    • 危害等級(jí): 中危 
    • CVE編號(hào):CVE-2020-15257
    • 漏洞類型: 容器逃逸
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來(lái)源:深信服
    • 發(fā)布時(shí)間:2020-12-14
    • 更新時(shí)間:2021-01-14

    漏洞簡(jiǎn)介

    1、Containerd組件介紹

    Containerd 是一個(gè)工業(yè)級(jí)標(biāo)準(zhǔn)的容器運(yùn)行時(shí)守護(hù)進(jìn)程,能夠管理容器的生命周期,提供存儲(chǔ)管理和運(yùn)行容器的功能,并可管理容器網(wǎng)絡(luò)接口及網(wǎng)絡(luò),包括了ctr命令行客戶端以及runc運(yùn)行容器工具。

    2、漏洞分析

    Containerd部分版本的API套接字將有效用戶ID設(shè)為0,但沒(méi)有限制對(duì)抽象Unix域套接字的訪問(wèn)。這將允許在與填充程序相同的網(wǎng)絡(luò)命名空間中運(yùn)行惡意容器,從而導(dǎo)致以root權(quán)限運(yùn)行新進(jìn)程。




    漏洞公示

    暫無(wú)

    受影響實(shí)體

    【影響版本】

    Containerd:<=1.3.7, 1.4.0, 1.4.1

    補(bǔ)丁

    1、修復(fù)方案

    升級(jí)Containerd到1.3.9或1.4.3版本

    2、臨時(shí)解決方案
    通過(guò)使用AppArmor添加類似于deny unix addr=@**,的策略拒絕訪問(wèn)抽象套接字。