文档首页> 云容器引擎 CCE> 服务公告> 漏洞公告> Apache containerd安全漏洞公告(CVE-2020-15257)
更新时间:2022-03-22 GMT+08:00
分享

Apache containerd安全漏洞公告(CVE-2020-15257)

CVE-2020-15257是Containerd官方发布的一处Docker容器逃逸漏洞。Containerd是一个支持Docker和常见Kubernetes配置的容器运行时管理组件,它处理与容器化有关的抽象,并提供API以管理容器的生命周期。在特定的条件下,可以通过访问containerd-shim API,来实现Docker容器逃逸。

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

披露/发现时间

Docker容器逃逸

CVE-2020-15257

2020-11-30

影响范围

CCE集群版本:v1.9-v1.17.9。

如果没有使用主机网络并且容器内进程不以root用户(UID为0)运行,则不涉及该漏洞。

防范措施

建议使用最小权限运行容器,对于不信任的容器进行如下限制:

  1. 禁止使用主机网络;
  2. 禁止容器内的进程以root用户运行。

相关链接

containerd-shim API exposed to host network containers

CCE会关注后续进展,请随时关注官方公告。

分享:

    相关文档

    相关产品

close