2020年12月1日,Containerd发布更新,修复了一个可造成容器逃逸的漏洞CVE-2020-15257,并公开了相关说明。通过受影响的API接口,攻击者可以利用该漏洞以root权限执行代码,实现容器逃逸。深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。
漏洞名称 : Containerd容器逃逸漏洞(CVE-2020-15257)
威胁等级 : 中危
影响范围 : Containerd:<=1.3.7, 1.4.0, 1.4.1
漏洞类型 : 容器逃逸
利用难度 : 未知
漏洞分析
1Containerd组件介绍
Containerd 是一个工业级标准的容器运行时守护进程,能够管理容器的生命周期,提供存储管理和运行容器的功能,并可管理容器网络接口及网络,包括了ctr命令行客户端以及runc运行容器工具。
2 漏洞分析
Containerd部分版本的API套接字将有效用户ID设为0,但没有限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络命名空间中运行恶意容器,从而导致以root权限运行新进程。
影响范围
【影响版本】
Containerd:<=1.3.7, 1.4.0, 1.4.1
解决方案
1 修复方案
升级Containerd到1.3.9或1.4.3版本
2 临时解决方案
通过使用AppArmor添加类似于deny unix addr=@**,的策略拒绝访问抽象套接字。
时间轴
2020/12/1 Containerd发布关于相关漏洞的信息
2020/12/2 深信服千里目安全实验室发布漏洞通告
参考链接
https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Containerd容器逃逸漏洞通告 (CVE-2020-15257)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论