Kubernetes社区公布了安全漏洞CVE-2021-25741,该漏洞可使攻击者使用软链接的方式在容器中挂载指定subPath配置的目录逃逸到主机敏感目录。本文介绍该漏洞的影响和影响范围,以及防范措施。
CVE-2021-25741漏洞被评估为高危漏洞,在CVSS的评分为8.8。
影响范围
以下枚举的Kubernetes集群版本所安装的kubelet组件均存在该漏洞:
- v1.22.0~v1.22.1
- v1.21.0~v1.21.4
- v1.20.0~v1.20.10
- ≤v1.19.14
Kubernetes社区在以下版本修复了该漏洞:
- v1.22.2
- v1.21.5
- v1.20.11
- v1.19.15
关于该漏洞的详细信息,请参见#104980。
漏洞影响
在多租户场景下,拥有以Root用户启动容器权限的恶意攻击者可以利用该漏洞逃逸至主机文件系统,获取主机敏感目录的读写权限。
修复措施
阿里云容器服务Kubernetes 1.20.11-aliyun.1版本已修复该漏洞,建议尽快升级到该修复版本。
© 版权声明
文章版权归原作者所有,未经允许请勿转载。
THE END
暂无评论内容