Python社区  »  docker

【重点产品升级提示】内附详细检测方法和修复方案,Containerd(Docker)升级提示通告

奇安信CERT • 1 月前 • 173 次点击  

奇安信CERT监测到12月01日Containerd 官方发布安全更新,修复了Containerd host 模式容器逃逸漏洞(CVE-2020-15257),在旧版本中,containerd-shim API没有限制对抽象Unix域套接字的访问,使得在特定的网络环境中,攻击者可利用containerd-shim API突破容器命名空间隔离,实现容器逃逸。漏洞实际需要一些非默认配置,建议客户检查相应配置,也请尽快安装更新补丁。


奇安信 CERT

升级提示通告


奇安信CERT监测到12月01日Containerd 官方发布安全更新,修复了Containerd host 模式容器逃逸漏洞(CVE-2020-15257),在旧版本中,containerd-shim API没有限制对抽象Unix域套接字的访问,使得在特定的网络环境中,攻击者可利用containerd-shim API突破容器命名空间隔离,实现容器逃逸。漏洞实际需要一些非默认配置,建议客户检查相应配置,也请尽快安装更新补丁。



发布时间


官方通告发布日期

2020-12-01

奇安信 CERT 通告日期

2020-12-03


重点关注漏洞


漏洞编号

CVSS

 概述

影响版本

CVE-2020-15257

5.2

Containerd是一个控制runC的守护进程,在旧版本中,containerd-shim   API没有限制对抽象Unix域socket的访问,使得在特定的网络环境中,攻击者可利用containerd-shim   API突破容器命名空间隔离,实现容器逃逸。

Containerd<= 1.3.7

Containerd = 1.4.0

Containerd = 1.4.1


检测方法


Docker运行容器的默认配置不受此漏洞影响,且需要攻击者能控制部分容器或者制作恶意镜像引导受害者使用。一般很难受到影响。检测思路是确认运行中的容器没有使用host network即无影响。

可以在所有容器下执行以下命令判断是否受漏洞影响:

$ cat /proc/net/unix | grep 'containerd-shim' | grep '@'


如果发现有输出信息即受影响,如下图所示:




修复方法


1. 升级 containerd 至1.3.9 、1.4.3及以上最新版本,注意使用旧版本containerd-shim

启动的容器应该重启,因为即使在升级之后,正在运行的容器仍然容易受到攻击。


2. 升级Docker-CE版本到v19.03.14


如果暂时无法升级,可以使用以下缓解措施:

1. 停止使用 --net=host(docker-cli)或hostNetwork: true(Kubernetes pod)创建容器。

2. 容器内部不要使用root账户权限。

3. 添加 deny unix addr=@**来拒绝使用 AppArmor 访问所有的抽象套接字。



参考资料

[1]https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15257

[2]https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4



时间线

2020年12月3日,奇安信 CERT发布重点产品升级提示




Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/99601
 
173 次点击  
分享到微博