Docker 容器逃逸漏洞 (CVE-2020-15257)

漏洞詳情

Docker發布一個容器逃逸漏洞，攻擊者利用該漏洞可以實現容器逃逸，提升特權並破壞主機。 containerd使用的抽象套接字僅使用UID做驗證，即任意UID為0的進程均可訪問此API。

當使用docker run --net=host 拉起一個容器時，容器將獲取宿主機的網絡權限，此時可以訪問containerd的API，執行危險操作。

 

影響范圍

containerd 1.2.x

containerd < 1.4.3

containerd < 1.3.9

可能還會有其他版本

 

修復方案

注意：安裝升級前，請做好數據備份、快照和測試工作，防止發生意外

1. 升級 containerd 至最新版本。

containerd >= 1.4.3

containerd >= 1.3.9

2. 通過添加如 deny unix addr=@**的AppArmor策略禁止訪問抽象套接字。

 

參考鏈接

https://research.nccgroup.com/2020/11/30/technical-advisory-containerd-containerd-shim-api-exposed-to-host-network-containers-cve-2020-15257/