Linux Kernel openvswitch 模块权限提升漏洞预警(CVE-2022-2639)
漏洞详情
业界披露了Linux Kernel openvswitch模块权限提升漏洞(CVE-2022-2639)的漏洞细节。由于 openvswitch模块中reserve_sfa_size()函数在使用过程中存在缺陷,导致本地经过身份认证的攻击者可以利用漏洞提升至root权限。目前漏洞poc已公开,风险较高。
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
权限提升 |
高 |
2022-09-01 |
漏洞影响
1. 采用容器隧道网络的CCE集群,节点OS镜像使用了EulerOS 2.8(ARM场景)或EulerOS 2.9。
2. 节点OS镜像使用了Ubuntu。
EulerOS 2.5 和CentOS 7.6的集群节点不受该漏洞影响。
漏洞修复方案
- 容器内进程使用非root用户启动的进程可以通过为工作负载配置安全计算模式seccomp,建议配置RuntimeDefault模式或者禁用unshare等系统调用。具体配置方法可参考社区官方资料使用 Seccomp 限制容器的系统调用。
- Ubuntu镜像自带openvswitch内核模块,可以通过将禁止加载openvswitch 内核模块来规避。操作如下:
echo "blacklist openvswitch" >>/etc/modprobe.d/blacklist.conf
然后重启节点,使上述设置生效。