Apache containerd安全漏洞公告（CVE-2020-15257）

漏洞详情

CVE-2020-15257是containerd官方发布的一处Docker容器逃逸漏洞。containerd是一个支持Docker和常见Kubernetes配置的容器运行时管理组件，它处理与容器化有关的抽象，并提供API以管理容器的生命周期。在特定的条件下，可以通过访问containerd-shim API，来实现Docker容器逃逸。

表1 漏洞信息
漏洞类型	CVE-ID	漏洞级别	披露/发现时间
Docker容器逃逸	CVE-2020-15257	中	2020-11-30

漏洞影响

CCE集群版本：v1.9-v1.17.9。

如果没有使用主机网络并且容器内进程不以root用户（UID为0）运行，则不涉及该漏洞。

漏洞修复方案

建议使用最小权限运行容器，对于不信任的容器进行如下限制：

禁止使用主机网络；
禁止容器内的进程以root用户运行。

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消