近日,海外研究团队披露出Linux Netfilter本地权限提升漏洞,漏洞编号CVE-2021-22555。该漏洞在kCTF中被用于攻击Kubernetes Pod容器,实现容器逃逸。此漏洞影响较大,阿里云建议您及时自查并修复漏洞。

漏洞信息

  • 漏洞编号:CVE-2021-22555
  • 漏洞评级:高
  • 影响范围:Linux内核版本大于等于2.6.19(9fa492cdc160cd27ce1046cb36f47d3b2b1efa21)
  • ECS受影响的镜像版本包括:
    • Alibaba Cloud Linux 2/3
    • CentOS 7/8
    • RedHat 7/8
    • Ubuntu 14/16/18/20
    • Debian 8/9/10
    • SUSE Linux Enterprise Server 12/15
    • OpenSUSE 42.3/15

详细描述

Linux Netfilter模块在实现IPT_SO_SET_REPLACE(或IP6T_SO_SET_REPLACE)setsockopt时,存在堆越界写入漏洞。该漏洞将允许本地用户通过用户名空间获取权限提升,在kCTF中被用于攻击Kubernetes Pod容器,实现容器逃逸。该漏洞已在Linux内核代码中存在15年。

安全建议

如果您的ECS实例操作系统为Alibaba Cloud Linux 2,具体修复方案,请参见Alibaba Cloud Linux 2系统的CVE-2021-22555安全漏洞内核热补丁修复方案

其他发行版的操作系统,请您尽快将Linux内核版本升级到如下所示的安全版本。
  • 5.12(b29c457a6511435960115c0f548c4360d5f4801d)
  • 5.10.31
  • 5.4.113
  • 4.19.188
  • 4.14.231
  • 4.9.267
  • 4.4.267

RedHat提供的临时修补建议:

您可以通过运行以下命令禁止非特权用户执行CLONE_NEWUSER与CLONE_NEWNET,以缓解该漏洞产生的影响。
echo 0 > /proc/sys/user/max_user_namespaces

相关链接

公告方

阿里云计算有限公司