关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

Docker 容器逃逸漏洞安全警告

发布时间:2020-12-01 12:44:32
尊敬的网维云用户,您好!

发布时间 2020-12-01

更新时间 2020-12-01

漏洞等级 Medium

CVE编号 CVE-2020-15257

漏洞详情

Docker发布一个容器逃逸漏洞,攻击者利用该漏洞可以实现容器逃逸,提升特权并破坏主机。 containerd使用的抽象套接字仅使用UID做验证,即任意UID为0的进程均可访问此API。当使用docker run --net=host 拉起一个容器时,容器将获取宿主机的网络权限,此时可以访问containerd的API,执行危险操作。


影响范围

containerd 1.2.x

containerd < 1.4.3

containerd < 1.3.9

可能还会有其他版本


修复方案

注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外

1. 升级 containerd 至最新版本。

containerd >= 1.4.3

containerd >= 1.3.9

2. 通过添加如 deny unix addr=@**的AppArmor策略禁止访问抽象套接字。


参考链接

https://research.nccgroup.com/2020/11/30/technical-advisory-containerd-containerd-shim-api-exposed-to-host-network-containers-cve-2020-15257/



网维云计算团队 
2020-12-02



/template/Home/ZkeysNew/PC/Static

「 企业上云 质造未来 」

   以品质为核心,打造高性价比产品与服务

立即体验