文档首页/ 云容器引擎 CCE/ 服务公告/ 漏洞公告/ Apache containerd安全漏洞公告(CVE-2020-15257)
更新时间:2024-04-25 GMT+08:00
分享

Apache containerd安全漏洞公告(CVE-2020-15257)

漏洞详情

CVE-2020-15257是containerd官方发布的一处Docker容器逃逸漏洞。containerd是一个支持Docker和常见Kubernetes配置的容器运行时管理组件,它处理与容器化有关的抽象,并提供API以管理容器的生命周期。在特定的条件下,可以通过访问containerd-shim API,来实现Docker容器逃逸。

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

Docker容器逃逸

CVE-2020-15257

2020-11-30

漏洞影响

CCE集群版本:v1.9-v1.17.9。

如果没有使用主机网络并且容器内进程不以root用户(UID为0)运行,则不涉及该漏洞。

漏洞修复方案

建议使用最小权限运行容器,对于不信任的容器进行如下限制:

  1. 禁止使用主机网络;
  2. 禁止容器内的进程以root用户运行。

相关文档