linux内核导致的容器逃逸漏洞公告（CVE-2022-0492）

漏洞详情

在某些场景下linux内核cgroup v1的release_agent特性存在可以被利用在容器内逃逸到OS上的安全问题，该问题已被收录为CVE-2022-0492。

漏洞影响

该漏洞为Linux内核权限校验漏洞，根因为没有针对性的检查设置release_agent文件的进程是否具有正确的权限。在受影响的OS节点上，工作负载使用了root用户运行进程（或者具有CAP_SYS_ADMIN权限），并且未配置seccomp时将受到漏洞影响。

CCE集群受该漏洞影响的范围如下：

1. x86场景EulerOS 2.5和CentOS镜像不受该漏洞影响。
2. 内核版本小于4.19.36-vhulk1907.1.0.h962.eulerosv2r8.aarch64的EulerOS arm版本。
3. 内核版本小于4.18.0-147.5.1.6.h541.eulerosv2r9.x86_64的EulerOS x86版本。
4. 内核版本为4.15.0-136-generic以及以下内核版本的Ubuntu节点。

漏洞修复方案

1. EulerOS 2.9 版本镜像已提供修复版本，请尽快迁移到4.18.0-147.5.1.6.h541.eulerosv2r9.x86_64版本节点。
2. 为工作负载配置seccomp，限制unshare系统调用，详情请参考Kuberenetes社区文档。
3. 限制容器内进程权限，最小化容器内的进程权限，如使用非root启动进程、通过capability机制细化进程权限等。

相关链接

1. 内核修复commit：https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=24f6008564183aa120d07c03d9289519c2fe02af
2. Red Hat社区漏洞公告：https://access.redhat.com/security/cve/cve-2022-0492