文档首页/ 云容器引擎 CCE/ 服务公告/ 漏洞公告/ containerd镜像Volume非安全处理漏洞公告(CVE-2022-23648)
更新时间:2023-08-02 GMT+08:00

containerd镜像Volume非安全处理漏洞公告(CVE-2022-23648)

漏洞详情

containerd开源社区中披露了一个漏洞,如果镜像具有恶意的属性,在容器内的进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

容器逃逸

CVE-2022-23648

2022-02-28

漏洞影响

用户在使用了恶意构造的镜像时,会导致容器内可获取主机上的任意文件的只读副本,从而泄露敏感信息。

该漏洞影响范围如下:

  1. 使用containerd作为Kubernetes CRI运行时,且使用了未知来源的恶意镜像。使用docker作为CRI时不涉及该漏洞。
  2. containerd版本号小于1.4.1-96。

判断方法

在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。

漏洞修复方案

  1. 使用可信的镜像,避免使用来源不明的第三方镜像,推荐使用容器镜像服务SWR。
  2. CCE已提供大于1.4.1-96的containerd版本,请迁移至符合要求的节点。

相关链接

社区已经发布补丁,相关信息:https://github.com/containerd/containerd/security/advisories/GHSA-crp2-qrr5-8pq7