• <code id="aw09e"><small id="aw09e"><track id="aw09e"></track></small></code>
  • <center id="aw09e"><em id="aw09e"></em></center>
    1. <code id="aw09e"><em id="aw09e"></em></code>
      <th id="aw09e"></th>
      <object id="aw09e"><option id="aw09e"><mark id="aw09e"></mark></option></object>

      1. <object id="aw09e"><nobr id="aw09e"></nobr></object><big id="aw09e"><em id="aw09e"></em></big>
        <code id="aw09e"></code>

      2. <pre id="aw09e"></pre>

        CVE-2020-15257:containerd 虛擬環境逃逸漏洞通告

        時間:2020-12-2

        0x01 漏洞簡述

        2020年12月01日,360CERT監測發現containerd發布了containerd 權限提升漏洞的風險通告,該漏洞編號為CVE-2020-15257,漏洞等級:中危,漏洞評分:6.1。

        containerd修復了一處容器權限逃逸漏洞,該漏洞的本質是滿足特定條件的容器可以繞過訪問權限訪問containerd的控制API 進而導致權限提升(無法獲得宿主主機/服務器控制權限)。

        containerd 是 Docker 和 K8S的核心,但不等價于對兩者產生直接影響,該漏洞需要在容器與宿主具有相同的網絡命名空間且內部UID 為 0 時,方可實現權限提升

        對此,360CERT建議廣大用戶及時將containerd升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。

        0x02 風險等級

        360CERT對該漏洞的評定結果如下

        評定方式

        等級

        威脅等級

        中危

        影響面

        一般

        360CERT評分

        6.1

        0x03 漏洞詳情

        CVE-2020-15257: 權限提升漏洞

        containerd中存在一處權限提升漏洞,在容器和宿主處在相同的網絡命名空間中,且內部 UID 為 0 時。使得容器中的程序可以訪問宿主的containerd控制API,導致權限提升。

        本地且具有高權限攻擊者,通過在容器內部運行特制的二進制程序,獲得containerd控制權限。

        0x04 影響版本

        –containerd:containerd: <=1.3.7/<=1.4.0/<=1.4.1

        0x05 修復建議

        通用修補建議

        根據官方通告進行版本升級到1.3.9/1.4.3:

        containerd-shim API exposed to host network containers

        注意在完成升級后需要重啟所有與宿主具有相同網絡命名空間的容器

        0x06 空間測繪數據

        360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現containerd具體分布如下圖所示。

        0x07 時間線

        2020-11-30containerd發布通告

        2020-12-01360CERT發布通告

        0x08 參考鏈接

        containerd-shim API exposed to host network containers

        Technical Advisory: containerd – containerd-shim API Exposed to Host Network Containers (CVE-2020-15257)

        0x9 特制報告下載鏈接

        一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。 用戶可直接通過以下鏈接進行特制報告的下載。

        CVE-2020-15257: containerd 虛擬環境逃逸漏洞通告

         

        本文由360CERT安全通告原創發布

        https://www.anquanke.com/post/id/224522

        美国十次,欧美av,欧美情色,美国十次啦导航,美国十次啦超线导航_美国十次啦av导航