Docker 容器逃逸漏洞（CVE-2020-15257）

admin

0
文章

0
评论

2023-12-01 17:53:21 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

高危 Docker 容器逃逸漏洞（CVE-2020-15257）

CVE编号

CVE-2020-15257

利用情况

漏洞武器化

补丁情况

官方补丁

披露时间

2020-12-01

漏洞描述

containerd是美国阿帕奇（Apache）基金会的一个容器守护进程。该进程根据 RunC OCI 规范负责控制宿主机上容器的完整周期。在版本1.3.9和1.4.3之前的containerd中，containerd-shim API被不正确地暴露给主机网络容器。shim API套接字的访问控制验证了连接进程的有效UID为0，但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与shim相同的网络名称空间中运行恶意容器（有效UID为0，但特权降低），从而导致新进程以提升的特权运行。

解决建议

升级该组件至最新的可用版本。在未升级的情况下，可以采取以下一些防御措施：1.请勿使用docker run --net = host运行docker容器。2.请勿以root用户运行容器。

参考链接
https://github.com/containerd/containerd/commit/4a4bb851f5da563ff6e68a83dc837...
https://github.com/containerd/containerd/releases/tag/v1.4.3
https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://security.gentoo.org/glsa/202105-33
https://www.debian.org/security/2021/dsa-4865

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	linuxfoundation	containerd	*		Up to (excluding) 1.3.9
	运行在以下环境
	应用	linuxfoundation	containerd	*	From (including) 1.4.0	Up to (excluding) 1.4.3
	运行在以下环境
	系统	alpine_3.11	containerd	*		Up to (excluding) 1.3.9-r0
	运行在以下环境
	系统	alpine_3.12	containerd	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.13	containerd	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.14	containerd	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.15	containerd	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.16	containerd	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.17	containerd	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.18	containerd	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_edge	containerd	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	amazon_2	containerd	*		Up to (excluding) 1.4.1-2.amzn2
	运行在以下环境
	系统	amazon_AMI	containerd	*		Up to (excluding) 1.4.1-2.6.amzn1
	运行在以下环境
	系统	debian_10	docker.io	*		Up to (excluding) 18.09.1+dfsg1-7.1+deb10u3
	运行在以下环境
	系统	debian_11	containerd	*		Up to (excluding) 1.4.3~ds1-1
	运行在以下环境
	系统	debian_12	containerd	*		Up to (excluding) 1.4.3~ds1-1
	运行在以下环境
	系统	debian_sid	containerd	*		Up to (excluding) 1.4.3~ds1-1
	运行在以下环境
	系统	fedora_33	containerd-debugsource	*		Up to (excluding) 1.4.3-1.fc33
	运行在以下环境
	系统	opensuse_Leap_15.2	containerd-ctr	*		Up to (excluding) 2.7.1-lp152.5.3.1
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 19.03.11.ol-7.el7
	运行在以下环境
	系统	ubuntu_16.04	containerd	*		Up to (excluding) 1.2.6-0ubuntu1~16.04.6
	运行在以下环境
	系统	ubuntu_16.04.7_lts	containerd	*		Up to (excluding) 1.2.6-0ubuntu1~16.04.6
	运行在以下环境
	系统	ubuntu_18.04	containerd	*		Up to (excluding) 1.3.3-0ubuntu1~18.04.4
	运行在以下环境
	系统	ubuntu_18.04.5_lts	containerd	*		Up to (excluding) 1.3.3-0ubuntu1~18.04.4
	运行在以下环境
	系统	ubuntu_20.04	containerd	*		Up to (excluding) 1.3.3-0ubuntu2.2
	运行在以下环境
	系统	unionos_d	docker.io	*		Up to (excluding) 18.09.1.1-deepin1