您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
免费享受企业级云安全服务
获取手机验证码
{{message}}
免费试用

【高危安全通告】Docker 容器逃逸漏洞

作者:
发布时间:2020-12-03

2020年12月01日,安全狗云应急响应中心监测到 containerd 官方发布安全更新,修复了 Docker 容器逃逸漏洞(CVE-2020-15257)。

 

Containerd使用的抽象套接字仅使用UID做验证,即任意UID为0的进程均可访问此API。当使用docker run--net=host拉起一个容器时,容器将获取宿主机的网络权限,此时可以访问containerd的API,执行危险操作。

 

Containerd是Docker和Kubernetes配置的容器运行支持组件。它处理与容器化有关的抽象,提供API以管理容器的生命周期。

 

安全通告信息

漏洞名称

Docker 容器逃逸漏洞

漏洞影响版本

containerd<=1.3.7

containerd<=1.4.1

漏洞危害等级

中危

厂商是否已发布漏洞补丁

版本更新地址

https://github.com/containerd/containerd/releases

安全狗总预警期数

142

安全狗发布预警日期

2020年12月1日

安全狗更新预警日期

2020年12月1日

发布者

安全狗海实验室

 

 

处置措施

1、安装以下安全版本:

1.3.9、1.4.3

 

2、安全建议

1)升级 containerd 至最新版本。

https://github.com/containerd/containerd/releases

 

2)通过添加如 deny unix addr=@**的AppArmor策略禁止访问抽象套接字。

标签: