Docker 容器逃逸漏洞 (CVE-2020-15257)

漏洞详情

Docker发布一个容器逃逸漏洞，攻击者利用该漏洞可以实现容器逃逸，提升特权并破坏主机。 containerd使用的抽象套接字仅使用UID做验证，即任意UID为0的进程均可访问此API。

当使用docker run --net=host 拉起一个容器时，容器将获取宿主机的网络权限，此时可以访问containerd的API，执行危险操作。

 

影响范围

containerd 1.2.x

containerd < 1.4.3

containerd < 1.3.9

可能还会有其他版本

 

修复方案

注意：安装升级前，请做好数据备份、快照和测试工作，防止发生意外

1. 升级 containerd 至最新版本。

containerd >= 1.4.3

containerd >= 1.3.9

2. 通过添加如 deny unix addr=@**的AppArmor策略禁止访问抽象套接字。

 

参考链接

https://research.nccgroup.com/2020/11/30/technical-advisory-containerd-containerd-shim-api-exposed-to-host-network-containers-cve-2020-15257/