文档首页> 云容器引擎 CCE> 服务公告> 漏洞公告> Docker资源管理错误漏洞公告(CVE-2021-21285)
更新时间:2022-05-05 GMT+08:00
分享

Docker资源管理错误漏洞公告(CVE-2021-21285)

Docker是美国Docker公司的一款开源的应用容器引擎。该产品支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。 Docker before versions 19.03.15和20.10.3存在资源管理错误漏洞,攻击者可以利用该漏洞导致dockerd守护进程崩溃。

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

披露/发现时间

资源管理错误

CVE-2021-21285

2021-02-02

威胁级别

中危。

影响和风险

  • 若镜像被恶意损坏,pull镜像时可能会导致docker daemon崩溃。
  • 使用华为云的容器镜像服务(SWR)时,如果您的镜像是通过在SWR获取的,上传到镜像仓库的镜像会进行digest校验,此场景不受影响。
  • 该漏洞不会影响运行中的容器。

触发场景

  1. 在集群内的节点上手动docker pull一个被恶意损坏的镜像。
  2. 部署工作负载时负载模板中定义了一个被恶意损坏的镜像,kubelet自动拉取镜像时触发。

根本原因

docker daemon组件在拉取镜像的过程中没有对镜像层digest进行有效性校验,拉取一个被恶意损坏的镜像可能会导致docker daemon崩溃。

判断方法

  1. 如果节点是EulerOS和CentOS,可以用如需命令查看安全包版本:
    rpm -qa |grep docker
  2. 使用EulerOS或者CentOS的节点,docker版本低于18.09.0.100.51.h10.51.h3-1.h15.eulerosv2r7的docker包涉及该CVE。
  3. 使用其它非EulerOS和CentOS的镜像(如Ubuntu),可以使用docker version查看docker版本。若版本低于19.03.15、20.10.3,则涉及该漏洞。

规避和消减措施

不使用未知来源的镜像,推荐使用华为云容器镜像服务SWR。

相关链接

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/moby/moby/commit/8d3179546e79065adefa67cc697c09d0ab137d30

分享:

    相关文档

    相关产品

close