Containerd社区公布了安全漏洞CVE-2021-41103,该漏洞源于Containerd中的缺陷,在容器根目录和一些系统插件中缺少必要的权限约束时,可使一个非特权的主机Linux用户拥有遍历容器文件系统并执行目标程序的权限。本文介绍该漏洞的影响和影响范围,以及防范措施。
CVE-2021-41103漏洞被评估为中危漏洞,在CVSS的评分为5.9。
影响范围
以下枚举的Containerd版本均在该漏洞影响范围内:
- <v1.4.11
- <v1.5.7
Containerd社区在以下版本的Containerd中修复了该漏洞:
- v1.4.11
- v1.5.7
关于漏洞的详细信息,请参见CVE-2021-41103。
漏洞影响
在多租户场景下,如果集群节点中的容器包含扩展权限(例如setuid),非特权的Linux用户可能发现并执行该程序。如果非特权的主机Linux用户UID碰撞到了容器中执行程序的所属用户或组,这个非特权的Linux用户可以读写该文件从而导致越权访问。
防范措施
- 保证集群节点登录用户都是可信用户,限制非受信用户对集群节点的访问权限。
- 收敛容器bundles目录中不必要的扩展权限。
© 版权声明
文章版权归原作者所有,未经允许请勿转载。
THE END
暂无评论内容