尊敬的网维云用户,您好! |
发布时间 2020-12-01 更新时间 2020-12-01 漏洞等级 Medium CVE编号 CVE-2020-15257 漏洞详情 Docker发布一个容器逃逸漏洞,攻击者利用该漏洞可以实现容器逃逸,提升特权并破坏主机。 containerd使用的抽象套接字仅使用UID做验证,即任意UID为0的进程均可访问此API。当使用docker run --net=host 拉起一个容器时,容器将获取宿主机的网络权限,此时可以访问containerd的API,执行危险操作。 影响范围 containerd 1.2.x containerd < 1.4.3 containerd < 1.3.9 可能还会有其他版本 修复方案 注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外 1. 升级 containerd 至最新版本。 containerd >= 1.4.3 containerd >= 1.3.9 2. 通过添加如 deny unix addr=@**的AppArmor策略禁止访问抽象套接字。 参考链接 |
网维云计算团队 2020-12-02 |
Copyright © 2024 HULEYUN.COM. All Rights Reserved. 互乐云 版权所有. 深圳易维网络科技有限公司
代理销售产品服务机构:《中华人民共和国增值电信业务经营许可证》粤B1-20160477 粤ICP备20003292号