• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • Containerd容器逃逸漏洞
    • CNNVD編號:未知
    • 危害等級: 中危 
    • CVE編號:CVE-2020-15257
    • 漏洞類型: 容器逃逸
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2020-12-14
    • 更新時間:2021-01-14

    漏洞簡介

    1、Containerd組件介紹

    Containerd 是一個工業(yè)級標(biāo)準(zhǔn)的容器運行時守護進程,能夠管理容器的生命周期,提供存儲管理和運行容器的功能,并可管理容器網(wǎng)絡(luò)接口及網(wǎng)絡(luò),包括了ctr命令行客戶端以及runc運行容器工具。

    2、漏洞分析

    Containerd部分版本的API套接字將有效用戶ID設(shè)為0,但沒有限制對抽象Unix域套接字的訪問。這將允許在與填充程序相同的網(wǎng)絡(luò)命名空間中運行惡意容器,從而導(dǎo)致以root權(quán)限運行新進程。




    漏洞公示

    暫無

    受影響實體

    【影響版本】

    Containerd:<=1.3.7, 1.4.0, 1.4.1

    補丁

    1、修復(fù)方案

    升級Containerd到1.3.9或1.4.3版本

    2、臨時解決方案
    通過使用AppArmor添加類似于deny unix addr=@**,的策略拒絕訪問抽象套接字。