Linuxカーネルの脆弱性CVE-2022-0185が最近発見されました。 脆弱性はlegacy_parse_param関数のFIlesystem Contextシステムで見つけられる整数のアンダーフロー条件によって引き起こされます。 攻撃者はこの脆弱性を悪用してDDoS攻撃を開始したり、コンテナから脱出したりできます。 これにより、攻撃者は脆弱なホストに対する特権をエスカレートできます。 このトピックでは、この脆弱性の影響、影響を受けるバージョン、および修正について説明します。
CVE-2022-0185は高重大度と評価され、その共通脆弱性スコアリングシステム (CVSS) スコアは7.8である。 脆弱性の詳細については、「CVE-2022-0185」をご参照ください。
影響を受けるバージョン
CVE-2022-0185の脆弱性は、2019年3月にリリースされた5.1-rc1カーネルバージョンで発見されました。 Linuxコミュニティはこの脆弱性を修正し、2022年1月18日にパッチバージョンをリリースしました。 詳細は、「v5.17-rc1」をご参照ください。
Container Service for Kubernetes (ACK) クラスター内のノードがAlibaba Cloud Linux3を実行していない場合、ビジネスはこの脆弱性の影響を受けません。
次のコマンドを実行して、クラスターノードのカーネルバージョンがこの脆弱性の影響を受けているかどうかを確認することもできます。
kubectl get nodes -o jsonpath='{range .items[*]}{.metadata.name}{"\t"}{.status.nodeInfo.kernelVersion}{"\n"}{end}'
影響
マルチテナントのシナリオでは、ポッドをデプロイする権限を持つ攻撃者またはpod exec権限を持つ攻撃者は、この脆弱性を悪用し、認証をバイパスしてメモリに対する範囲外の書き込み操作を実行できます。 これは、ノードのオペレーティングシステムをクラッシュさせ、サービスの中断をもたらす。 さらに、攻撃者は悪意のあるコードを実行してコンテナからエスケープし、ホスト上でルート特権を得ることができます。
緩和
Alibaba Cloud Linux3のパッチ適用されたイメージバージョンに関するお知らせに注意し、この脆弱性の影響を受けるノードのカーネルバージョンをアップグレードすることを推奨します。
ポッドが
unshareシステムコールを使用しないように、コンテナランタイムの既定のseccompプロファイルを使用することを推奨します。 詳細については、「コンテナーのSyscallsをseccompで制限する」をご参照ください。 また、特権ポッドをデプロイしたり、ポッドにCAP_SYS_ADMIN機能を追加したりしないでください。 詳細については、「CAP_SYS_ADMIN」をご参照ください。