脆弱性CVE-2021-41103は最近、コンテナコミュニティによって開示されました。 この脆弱性はcontainerdランタイムに関連しています。 コンテナルートディレクトリとシステムコンポーネントに対する権限が制限されていない場合、特権のないLinuxユーザーはコンテナファイルシステム全体を横断してプログラムを実行できます。 このトピックでは、この脆弱性に対する影響、影響を受けるcontainerdバージョン、および修正について説明します。
CVE-2021-41103は中程度の重大度と評価され、その共通脆弱性スコアリングシステム (CVSS) スコアは5.9である。
影響を受けるcontainerdバージョン
次のcontainerdバージョンが影響を受けます。
- <v1.4.11
- <v1.5.7
この脆弱性は次のcontainerdの版で修正されます:
- v1.4.11
- v1.5.7
この脆弱性の詳細については、「CVE-2021-41103」をご参照ください。
影響
マルチテナントクラスターに拡張アクセス許可ビット (setuidなど) を持つ実行可能プログラムがある場合、特権のないLinuxユーザーがこれらのプログラムを発見して実行する可能性があります。 ホスト上の非特権LinuxユーザーのUIDがコンテナ内のファイル所有者またはグループと衝突すると、ホスト上の非特権Linuxユーザーはこれらのファイルを検出、読み取り、および変更できます。
緩和
- 信頼できるユーザーのみがクラスターノードにアクセスできるようにします。 信頼できないユーザーにアクセス権限を付与しないでください。
- コンテナーバンドルディレクトリに対する不要な拡張権限を削除します。