libseccomp修复数个漏洞,可导致绕过seccomp限制

admin 2026-07-03 05:47:29 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: libseccomp存在三个安全漏洞,包括过滤器规则合并逻辑错误、整数溢出及双重释放问题,可导致绕过seccomp限制、崩溃或代码执行。受影响版本低于2.6.1,官方已发布修复版本。建议升级至v2.6.1或更高版本,并采取临时缓解措施如审查策略、限制规则数量。 综合评分: 90 文章分类: 漏洞分析,安全工具,解决方案


cover_image

libseccomp 修复数个漏洞,可导致绕过seccomp限制

微步情报局 微步情报局

微步在线研究响应中心

2026年7月2日 11:36 北京

在小说阅读器读本章

去阅读

漏洞概况

libseccomp 是 Linux 系统中广泛使用的 seccomp 过滤器编译库,为容器运行时(如Docker、containerd)、沙箱应用及安全敏感服务提供系统调用访问控制能力。

近日,微步安全大模型 XGPT 发现 libseccomp 存在三个安全漏洞,分别涉及过滤器规则合并逻辑错误、整数溢出及双重释放问题:

  1. GHSA-4q85-33p6-j5g6 为过滤器规则合并缺陷,该漏洞源于 libseccomp 在构建过滤器树时,_db_tree_add() 函数存在复制粘贴错误,导致在合并同一系统调用的多条 64 位参数比较规则时,false-path动作字段未被正确更新。攻击者可利用此缺陷绕过本应生效的 seccomp 限制,执行被安全策略禁止的系统调用,例如可能实现容器逃逸或权限提升。
  2. GHSA-46fr-jh49-xvhx 与 GHSA-2hqh-5c36-grrm 两个漏洞均涉及 BPF 指令计数溢出问题:struct bpf_program.blk_cnt 字段为 16 位无符号整数,当生成的过滤器包含超过 65,535 条 BPF 指令时发生回绕,导致堆腐败及双重释放,进而导致编译过滤器崩溃(DoS),可能在特定条件下实现代码执行。

漏洞影响范围

| | | | — | — | | 产品名称 | libseccomp | | 受影响版本 | libseccomp < 2.6.1 | | 有无修复补丁 | 有 |

修复方案

官方修复方案

官方已发布修复版本,请升级至 libseccomp v2.6.1 或更高版本。 https://github.com/seccomp/libseccomp/releases/tag/v2.6.1

临时缓解措施

  1. 审查现有 seccomp 策略,识别并重写存在冲突的 SCMP_CMP_LT 或 SCMP_CMP_LE 规则

  2. 不要在特权进程中编译不受信任的 seccomp 配置文件

  3. 对用户提供的 seccomp 配置设置规则数量上限(建议不超过 10,000 条)

微步产品支撑

微步漏洞情报于2026年7月2日收录该漏洞。

微步下一代威胁情报平台NGTIP及X情报社区已于漏洞收录时向漏洞订阅用户推送该漏洞情报,并将持续推送后续更新;对于已经录入资产的用户,支持实时自动化排查受影响资产。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:微步在线研究响应中心 微步情报局 微步情报局《libseccomp 修复数个漏洞,可导致绕过seccomp限制》

Web版ClaudeCode 网络安全文章

Web版ClaudeCode

文章总结: 文档介绍了使用claude-agent-sdk-python项目将ClaudeCode集成到项目中的方法,包括安装步骤、快速开始测试以及创建Web版
绝对地址与相对地址 网络安全文章

绝对地址与相对地址

文章总结: 本文通过漫画形式解释Web应用中绝对地址与相对地址的区别,强调内部地址暴露是高风险。主要结论是开发者应避免在网页中泄露内部地址,关键发现是地址暴露可
评论:0   参与:  0