Containerd社區公布了安全性漏洞CVE-2021-41103,該漏洞源於Containerd中的缺陷,在容器根目錄和一些系統外掛程式中缺少必要的許可權約束時,可使一個非特權的主機Linux使用者擁有遍曆容器檔案系統並執行目標程式的許可權。本文介紹該漏洞的影響和影響範圍,以及防範措施。
CVE-2021-41103漏洞被評估為中危漏洞,在CVSS的評分為5.9。
影響範圍
以下枚舉的Containerd版本均在該漏洞影響範圍內:
- <v1.4.11
- <v1.5.7
Containerd社區在以下版本的Containerd中修複了該漏洞:
- v1.4.11
- v1.5.7
關於漏洞的詳細資料,請參見CVE-2021-41103。
漏洞影響
在多租戶情境下,如果叢集節點中的容器包含延伸權限(例如setuid),非特權的Linux使用者可能發現並執行該程式。如果非特權的主機Linux使用者UID碰撞到了容器中執行程式的所屬使用者或組,這個非特權的Linux使用者可以讀寫該檔案從而導致越權訪問。
防範措施
- 保證叢集節點登入使用者都是可信使用者,限制非受信使用者對叢集節點的存取權限。
- 收斂容器bundles目錄中不必要的延伸權限。