更新时间:2023-08-02 GMT+08:00
containerd镜像Volume非安全处理漏洞公告(CVE-2022-23648)
漏洞详情
containerd开源社区中披露了一个漏洞,如果镜像具有恶意的属性,在容器内的进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
容器逃逸 |
CVE-2022-23648 |
中 |
2022-02-28 |
漏洞影响
用户在使用了恶意构造的镜像时,会导致容器内可获取主机上的任意文件的只读副本,从而泄露敏感信息。
该漏洞影响范围如下:
- 使用containerd作为Kubernetes CRI运行时,且使用了未知来源的恶意镜像。使用docker作为CRI时不涉及该漏洞。
- containerd版本号小于1.4.1-96。
判断方法
在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。
漏洞修复方案
- 使用可信的镜像,避免使用来源不明的第三方镜像,推荐使用容器镜像服务SWR。
- CCE已提供大于1.4.1-96的containerd版本,请迁移至符合要求的节点。
父主题: 漏洞公告