ローカル特権エスカレーションの脆弱性 (CVE-2021-22555) がLinux Netfilterモジュールで最近発見されました。 この脆弱性はkCTFで悪用され、Kubernetesポッドコンテナを攻撃してコンテナエスケープを実現しました。 CVE-2021-22555は高いリスクをもたらします。 できるだけ早く検出して修正することをお勧めします。

検出された脆弱性

  • 脆弱性ID: CVE-2021-22555
  • 脆弱性の重症度: 高い
  • 影響を受けるバージョン: カーネルバージョンが2.6.19(9fa492cdc160cd27ce1046cb36f47d3b2b1efa21) 以降のLinuxオペレーティングシステム。
  • 影響を受けるElastic Compute Service (ECS) イメージ:
    • Alibaba Cloud Linux 2/3
    • CentOS 7/8
    • RedHat 7/8
    • Ubuntu 14/16/18/20
    • Debian 8/9/10
    • SUSE Linux Enterprise Server 12/15
    • OpenSUSE 42.3/15

詳細

Linux NetfilterモジュールのIPT_SO_SET_REPLACEまたはIP6T_SO_SET_REPLACE setsockopt実装でヒープのアウトオブバウンド書き込みの脆弱性が見つかりました。 この脆弱性により、ローカルユーザーはユーザー名スペースを使用して特権をエスカレートでき、kCTFでKubernetesポッドコンテナーを攻撃してコンテナーエスケープを実現することができます。 この脆弱性は、Linuxカーネルコードに15年間存在しています。

セキュリティの提案

Linuxカーネルをできるだけ早く次の安全なバージョンにアップグレードします。
  • 5.12(b29c457a6511435960115c0f548c4360d5f4801d)
  • 5.10.31
  • 5.4.113
  • 4.19.188
  • 4.14.231
  • 4.9.267
  • 4.4.267

RedHatは、次の一時的な修正の提案を提供します。

次のコマンドを実行して、特権のないユーザーがCLONE_NEWUSERおよびCLONE_NEWNETを実行しないようにし、この脆弱性の影響を軽減します。 
エコー0 > /proc/sys/user/max_user_namespaces

関連ドキュメント

発表元

Alibaba Cloud Computing Co., Ltd.