containerd容器逃逸漏洞
- cnnvd编号:未知
- 危害等级: 中危
- cve编号:cve-2020-15257
- 漏洞类型: 容器逃逸
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2020-12-14
- 更新时间:2021-01-14
漏洞简介
1、containerd组件介绍
containerd 是一个工业级标准的容器运行时守护进程,能够管理容器的生命周期,提供存储管理和运行容器的功能,并可管理容器网络接口及网络,包括了ctr命令行客户端以及runc运行容器工具。
2、漏洞分析
containerd部分版本的api套接字将有效用户id设为0,但没有限制对抽象unix域套接字的访问。这将允许在与填充程序相同的网络命名空间中运行恶意容器,从而导致以root权限运行新进程。
漏洞公示
暂无
参考网站
受影响实体
【影响版本】
containerd:<=1.3.7, 1.4.0, 1.4.1
补丁
1、修复方案
升级containerd到1.3.9或1.4.3版本
2、临时正规网赌十大娱乐棋牌的解决方案
通过使用apparmor添加类似于deny unix addr=@**,的策略拒绝访问抽象套接字。
