关于我们

发布时间 2020-12-01

更新时间 2020-12-01

漏洞等级 Medium

CVE编号 CVE-2020-15257

漏洞详情

Docker发布一个容器逃逸漏洞，攻击者利用该漏洞可以实现容器逃逸，提升特权并破坏主机。 containerd使用的抽象套接字仅使用UID做验证，即任意UID为0的进程均可访问此API。当使用docker run --net=host 拉起一个容器时，容器将获取宿主机的网络权限，此时可以访问containerd的API，执行危险操作。

影响范围

containerd 1.2.x

containerd < 1.4.3

containerd < 1.3.9

可能还会有其他版本

修复方案

注意：安装升级前，请做好数据备份、快照和测试工作，防止发生意外

1. 升级 containerd 至最新版本。

containerd >= 1.4.3

containerd >= 1.3.9

2. 通过添加如 deny unix addr=@**的AppArmor策略禁止访问抽象套接字。

参考链接

https://research.nccgroup.com/2020/11/30/technical-advisory-containerd-containerd-shim-api-exposed-to-host-network-containers-cve-2020-15257/