服务公告

全部公告 > 安全公告 > Linux Netfilter本地权限提升漏洞预警(CVE-2021-22555)

Linux Netfilter本地权限提升漏洞预警(CVE-2021-22555)

2021-07-16

一、概要

近日,华为云关注到国外有安全研究人员披露Linux Netfilter提权漏洞(CVE-2021-22555)的分析报告。由于Linux Netfilter模块中memcpy()、memset()函数在使用过程中存在缺陷,导致攻击者可以利用漏洞实现权限提升,如果在容器场景下,可以从docker、k8s容器中实施容器逃逸(目前poc已公开)。

Linux Netfilter是一个对数据包过滤、网络地址转换(NAT)和基于协议类型连接的管理框架。华为云提醒使用Linux Netfilter的用户及时安排自检并做好安全加固。

参考链接:

https://google.github.io/security-research/pocs/linux/cve-2021-22555/writeup.html#achieving-use-after-free

https://github.com/google/security-research/security/advisories/GHSA-xxx5-8mvq-3528

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Linux Kernel版本 >=2.6.19 (9fa492cdc160cd27ce1046cb36f47d3b2b1efa21)

安全版本:

Linux Kernel 版本 5.12 (b29c457a6511435960115c0f548c4360d5f4801d), 5.10.31, 5.4.113, 4.19.188, 4.14.231, 4.9.267, 4.4.267

四、漏洞处置

非容器场景(风险:本地权限提升):

1.目前Kernel官方已提供安全版本修复了该漏洞,请受影响的用户及时升级至安全版本:https://www.kernel.org/

2.根据RedHat官方的建议,实施以下操作通过禁用非特权用户执行CLONE_NEWUSER、CLONE_NEWNET来进行缓解

echo 0 > /proc/sys/user/max_user_namespaces

容器场景(风险:容器逃逸)

1.升级至安全的内核版本

2.执行echo 0 > /proc/sys/user/max_user_namespaces 进行缓解

3.开启容器的seccomp功能来规避容器逃逸风险(请用户在开启前评估可能对性能和业务带来的影响)

各大Linux厂商的修复版本,具体请关注各厂商安全公告

RedHat:https://access.redhat.com/security/cve/CVE-2021-22555

Debian:https://security-tracker.debian.org/tracker/CVE-2021-22555

Ubuntu:https://ubuntu.com/security/CVE-2021-22555

SUSE:https://www.suse.com/security/cve/CVE-2021-22555/

注:修复漏洞前请将资料备份,并进行充分测试。