Containerd社区公布了安全漏洞CVE-2021-41103,该漏洞源于Containerd中的缺陷,在容器根目录和一些系统插件中缺少必要的权限约束时,可使一个非特权的主机Linux用户拥有遍历容器文件系统并执行目标程序的权限。本文介绍该漏洞的影响和影响范围,以及防范措施。

CVE-2021-41103漏洞被评估为中危漏洞,在CVSS的评分为5.9。

影响范围

以下枚举的Containerd版本均在该漏洞影响范围内:
  • <v1.4.11
  • <v1.5.7
Containerd社区在以下版本的Containerd中修复了该漏洞:
  • v1.14.11
  • v1.5.7

关于漏洞的详细信息,请参见CVE-2021-41103

漏洞影响

在多租户场景下,如果集群节点中的容器包含扩展权限(例如setuid),非特权的Linux用户可能发现并执行该程序。如果非特权的主机Linux用户UID碰撞到了容器中执行程序的所属用户或组,这个非特权的Linux用户可以读写该文件从而导致越权访问。

防范措施

  1. 保证集群节点登录用户都是可信用户,限制非受信用户对集群节点的访问权限。
  2. 收敛容器bundles目录中不必要的扩展权限。