Docker 容器逃逸漏洞安全警告
Docker 容器逃逸漏洞安全警告
发布时间 2020-12-01
更新时间 2020-12-01
漏洞等级 Medium
CVE编号 CVE-2020-15257
漏洞详情
Docker发布一个容器逃逸漏洞,攻击者利用该漏洞可以实现容器逃逸,提升特权并破坏主机。 containerd使用的抽象套接字仅使用UID做验证,即任意UID为0的进程均可访问此API。当使用docker run --net=host 拉起一个容器时,容器将获取宿主机的网络权限,此时可以访问containerd的API,执行危险操作。
影响范围
containerd 1.2.x
containerd < 1.4.3
containerd < 1.3.9
可能还会有其他版本
修复方案
注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外
1. 升级 containerd 至最新版本。
containerd >= 1.4.3
containerd >= 1.3.9
2. 通过添加如 deny unix addr=@**的AppArmor策略禁止访问抽象套接字。
参考链接
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。