Apache containerd安全漏洞公告(CVE-2020-15257)
漏洞详情
CVE-2020-15257是containerd官方发布的一处Docker容器逃逸漏洞。containerd是一个支持Docker和常见Kubernetes配置的容器运行时管理组件,它处理与容器化有关的抽象,并提供API以管理容器的生命周期。在特定的条件下,可以通过访问containerd-shim API,来实现Docker容器逃逸。
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
Docker容器逃逸 |
中 |
2020-11-30 |
漏洞影响
CCE集群版本:v1.9-v1.17.9。
如果没有使用主机网络并且容器内进程不以root用户(UID为0)运行,则不涉及该漏洞。
漏洞修复方案
建议使用最小权限运行容器,对于不信任的容器进行如下限制:
- 禁止使用主机网络;
- 禁止容器内的进程以root用户运行。