文档首页/ 云容器引擎 CCE/ 用户指南(巴黎区域)/ 产品公告/ 漏洞公告/ Linux Kernel openvswitch 模块权限提升漏洞预警(CVE-2022-2639)
更新时间:2023-07-06 GMT+08:00

Linux Kernel openvswitch 模块权限提升漏洞预警(CVE-2022-2639)

漏洞详情

业界披露了Linux Kernel openvswitch模块权限提升漏洞(CVE-2022-2639)的漏洞细节。由于 openvswitch模块中reserve_sfa_size()函数在使用过程中存在缺陷,导致本地经过身份认证的攻击者可以利用漏洞提升至root权限。目前漏洞poc已公开,风险较高。

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

权限提升

CVE-2022-2639

2022-09-01

漏洞影响

1. 采用容器隧道网络的CCE集群,节点OS镜像使用了EulerOS 2.9。

2. 节点OS镜像使用了Ubuntu。

EulerOS 2.5 和CentOS 7.6的集群节点不受该漏洞影响

漏洞修复方案

  1. 容器内进程使用非root用户启动的进程可以通过为工作负载配置安全计算模式seccomp,建议配置RuntimeDefault模式或者禁用unshare等系统调用。具体配置方法可参考社区官方资料使用 Seccomp 限制容器的系统调用
  2. Ubuntu镜像自带openvswitch内核模块,可以通过将禁止加载openvswitch 内核模块来规避。操作如下:
    echo "blacklist openvswitch" >>/etc/modprobe.d/blacklist.conf

    然后重启节点,使上述设置生效。