2020年12月01日,安全狗云应急响应中心监测到 containerd 官方发布安全更新,修复了 Docker 容器逃逸漏洞(CVE-2020-15257)。
Containerd使用的抽象套接字仅使用UID做验证,即任意UID为0的进程均可访问此API。当使用docker run--net=host拉起一个容器时,容器将获取宿主机的网络权限,此时可以访问containerd的API,执行危险操作。
Containerd是Docker和Kubernetes配置的容器运行支持组件。它处理与容器化有关的抽象,提供API以管理容器的生命周期。
漏洞名称 | Docker 容器逃逸漏洞 |
漏洞影响版本 | containerd<=1.3.7 containerd<=1.4.1 |
漏洞危害等级 | 中危 |
厂商是否已发布漏洞补丁 | 是 |
版本更新地址 | https://github.com/containerd/containerd/releases |
安全狗总预警期数 | 142 |
安全狗发布预警日期 | 2020年12月1日 |
安全狗更新预警日期 | 2020年12月1日 |
发布者 | 安全狗海青实验室 |
1、安装以下安全版本:
1.3.9、1.4.3
2、安全建议
1)升级 containerd 至最新版本。
https://github.com/containerd/containerd/releases
2)通过添加如 deny unix addr=@**的AppArmor策略禁止访问抽象套接字。
