服务公告

全部公告 > 安全公告 > 关于可导致容器逃逸和本地提权的Linux内核溢出漏洞预警 (CVE-2022-0185)

关于可导致容器逃逸和本地提权的Linux内核溢出漏洞预警 (CVE-2022-0185)

2022-01-28

一、概要

近日,华为云关注到国外安全研究团队披露在Linux内核组件中存在一处高危的缓冲区溢出漏洞(CVE-2022-0185),由于Linux FS模块中的legacy_parse_param()函数对size校验存在缺陷,普通用户可以利用此漏洞获取root权限,如果在容器场景下,可以从docker、k8s容器中实施容器逃逸(目前POC/EXP已公开),风险较高。

华为云提醒用户及时安排自检并做好安全加固。

参考链接:https://blog.aquasec.com/cve-2022-0185-linux-kernel-container-escape-in-kubernetes

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、影响范围

影响版本:

5.1-rc1 <= Linux kernel < 5.16.2

安全版本:

Linux kernel 5.4.174

Linux kernel 5.10.94

Linux kernel 5.15.17

Linux kernel 5.16.2、Linux kernel 5.16.3

四、漏洞处置

非容器场景(风险:本地权限提升):

1、目前Kernel官方已提供安全版本修复了该漏洞,请受影响的用户及时升级至安全版本:https://www.kernel.org/

2、根据RedHat官方的建议,实施以下操作通过禁用非特权用户执行CLONE_NEWUSER、CLONE_NEWNET来进行缓解

echo 0 > /proc/sys/user/max_user_namespaces

容器场景(风险:容器逃逸)

1、升级至安全的内核版本

2、执行echo 0 > /proc/sys/user/max_user_namespaces 进行缓解

3、开启容器的seccomp功能来规避容器逃逸风险(请用户在开启前评估可能对性能和业务带来的影响)

各大Linux厂商的修复版本,具体请关注各厂商安全公告:RedHatUbuntuSUSEDebian

华为云云容器引擎CCE服务不受该漏洞影响,EulerOS不受该漏洞影响。

注:修复漏洞前请将资料备份,并进行充分测试。