近日Linux社区公布了一个新的内核高危漏洞CVE-2022-0492。该漏洞能够用于主机提权,并绕过命名空间隔离限制。在某些条件下,可以用于容器提权和逃逸。
CVE-2022-0492漏洞被评估为高危漏洞,在CVSS的评分为7.0。
影响范围
- 该漏洞影响v2.6.24-rc1及以上Linux内核版本,修复版本为v5.17-rc3及以上内核版本。更多信息,请参见v5.17-rc3。
- 容器服务ACK目前线上所有节点内核版本均在该漏洞影响范围内。
漏洞影响
由于Kubernetes集群默认没有开启Seccomp防护,对于未设置no_new_privs参数的应用Pod和直接开启了CAP_SYS_ADMIN特性的应用Pod,如果以root用户权限启动,攻击者可以对它们发起逃逸攻击。在某些条件下可绕过内核命名空间的限制获取主机权限。
防范措施
- 阿里云操作系统团队已发布关于该漏洞的修复补丁,请您及时登录节点运行
yum update kernel,将内核升级到最新版本。 - 临时止血方案:
- 使用运行时Seccomp配置限制应用Pod使用
unshare系统调用,具体操作,请参见Create Pod that uses the container runtime default seccomp profile。 - 不要部署
Privileged特权容器或给应用Pod添加CAP_SYS_ADMIN内核能力,具体操作,请参见CAP_SYS_ADMIN。
- 使用运行时Seccomp配置限制应用Pod使用