Containerd社區披露了CVE-2023-25153和CVE-2023-25173兩個安全性漏洞,這兩個漏洞被評估為中危漏洞。
- 漏洞CVE-2023-25153:由於在匯入OCI鏡像時,未限制某些檔案的讀取位元組,攻擊者可以通過構建並匯入一個帶有指定大檔案的惡意鏡像完成DoS攻擊。
- 漏洞CVE-2023-25173:由於在容器內未正確設定附加組(Supplementary groups),若攻擊者可以直接存取容器並操縱其附加組配置,在某種條件下,該攻擊者可繞過主組(Primary group)的許可權控制,越權讀取容器內的敏感資訊或提權獲得容器內的代碼執行許可權。
影響範圍
重要
- 使用Containerd容器運行時節點池中的節點在漏洞CVE-2023-25153和CVE-2023-25173的影響範圍內,其它運行時的節點不受影響。
- 使用Containerd用戶端的應用程式在漏洞CVE-2023-25173的影響範圍內。
下列版本的Containerd均在漏洞影響範圍內:
- v1.6.0~v1.6.17
- ≤v1.5.17
社區在下列版本中修複了此問題:
- v1.6.18
- v1.5.18
防範措施
您可以通過以下措施進行漏洞修複。
- 通過使用ACK安全性原則治理的ACKAllowedRepos策略限制確保僅使用可信鏡像,同時基於最小化許可權原則,確保僅可信人員具有匯入鏡像的許可權。更多資訊,請參見配置容器安全性原則。
- 漏洞修複前,在構建鏡像的Dockerfile中請勿使用
USER $USERNAME,同時將ENTRYPOINT設定為ENTRYPOINT ["su", "-", "user"]格式,允許su設定正確的附加組。 - 關注Container ServiceACK的Containerd版本發布公告,通過更新Containerd版本完成修複。關於Containerd版本發布記錄,請參見containerd運行時發布記錄。