linux内核导致的容器逃逸漏洞公告(CVE-2022-0492)
漏洞详情
在某些场景下linux内核cgroup v1的release_agent特性存在可以被利用在容器内逃逸到OS上的安全问题,该问题已被收录为CVE-2022-0492。
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
容器逃逸 |
CVE-2022-0492 |
高 |
2021-02-07 |
漏洞影响
该漏洞为Linux内核权限校验漏洞,根因为没有针对性的检查设置release_agent文件的进程是否具有正确的权限。在受影响的OS节点上,工作负载使用了root用户运行进程(或者具有CAP_SYS_ADMIN权限),并且未配置seccomp时将受到漏洞影响。
CCE集群受该漏洞影响的范围如下:
- x86场景EulerOS 2.5和CentOS镜像不受该漏洞影响。
- 内核版本小于4.19.36-vhulk1907.1.0.h962.eulerosv2r8.aarch64的EulerOS arm版本。
- 内核版本小于4.18.0-147.5.1.6.h541.eulerosv2r9.x86_64的EulerOS x86版本。
- 内核版本为4.15.0-136-generic以及以下内核版本的Ubuntu节点。
漏洞修复方案
- EulerOS 2.9 版本镜像已提供修复版本,请尽快迁移到4.18.0-147.5.1.6.h541.eulerosv2r9.x86_64版本节点。
- 为工作负载配置seccomp,限制unshare系统调用,详情请参考Kuberenetes社区文档。
- 限制容器内进程权限,最小化容器内的进程权限,如使用非root启动进程、通过capability机制细化进程权限等。