文档首页/ 云容器引擎 CCE/ 服务公告/ 漏洞公告/ linux内核导致的容器逃逸漏洞公告(CVE-2022-0492)
更新时间:2023-06-09 GMT+08:00
分享

linux内核导致的容器逃逸漏洞公告(CVE-2022-0492)

漏洞详情

在某些场景下linux内核cgroup v1的release_agent特性存在可以被利用在容器内逃逸到OS上的安全问题,该问题已被收录为CVE-2022-0492。

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

容器逃逸

CVE-2022-0492

2021-02-07

漏洞影响

该漏洞为Linux内核权限校验漏洞,根因为没有针对性的检查设置release_agent文件的进程是否具有正确的权限。在受影响的OS节点上,工作负载使用了root用户运行进程(或者具有CAP_SYS_ADMIN权限),并且未配置seccomp时将受到漏洞影响。

CCE集群受该漏洞影响的范围如下:

  1. x86场景EulerOS 2.5和CentOS镜像不受该漏洞影响。
  2. 内核版本小于4.19.36-vhulk1907.1.0.h962.eulerosv2r8.aarch64的EulerOS arm版本。
  3. 内核版本小于4.18.0-147.5.1.6.h541.eulerosv2r9.x86_64的EulerOS x86版本。
  4. 内核版本为4.15.0-136-generic以及以下内核版本的Ubuntu节点。

漏洞修复方案

  1. EulerOS 2.9 版本镜像已提供修复版本,请尽快迁移到4.18.0-147.5.1.6.h541.eulerosv2r9.x86_64版本节点。
  2. 为工作负载配置seccomp,限制unshare系统调用,详情请参考Kuberenetes社区文档
  3. 限制容器内进程权限,最小化容器内的进程权限,如使用非root启动进程、通过capability机制细化进程权限等。

相关文档