containerd镜像Volume非安全处理漏洞公告（CVE-2022-23648）

漏洞详情

containerd开源社区中披露了一个漏洞，如果镜像具有恶意的属性，在容器内的进程可能会访问主机上任意文件和目录的只读副本，从而造成宿主机上敏感信息泄露。

漏洞影响

用户在使用了恶意构造的镜像时，会导致容器内可获取主机上的任意文件的只读副本，从而泄露敏感信息。

该漏洞影响范围如下：

1. 使用containerd作为Kubernetes CRI运行时，且使用了未知来源的恶意镜像。使用docker作为CRI时不涉及该漏洞。
2. containerd版本号小于1.4.1-96。

判断方法

在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处，查看“运行时版本”，若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。

漏洞修复方案

1. 使用可信的镜像，避免使用来源不明的第三方镜像，推荐使用容器镜像服务SWR。
2. CCE已提供大于1.4.1-96的containerd版本，请迁移至符合要求的节点。

相关链接

社区已经发布补丁，相关信息：https://github.com/containerd/containerd/security/advisories/GHSA-crp2-qrr5-8pq7