Containerd社区披露了CVE-2023-25153和CVE-2023-25173两个安全漏洞,这两个漏洞被评估为中危漏洞。

  • 漏洞CVE-2023-25153:由于在导入OCI镜像时,未限制某些文件的读取字节,攻击者可以通过构建并导入一个带有指定大文件的恶意镜像完成DoS攻击。
  • 漏洞CVE-2023-25173:由于在容器内未正确设置附加组(Supplementary groups),若攻击者可以直接访问容器并操纵其附加组配置,在某种条件下,该攻击者可绕过主组(Primary group)的权限控制,越权读取容器内的敏感信息或提权获得容器内的代码执行权限。

影响范围

重要
  • 使用Containerd容器运行时节点池中的节点在漏洞CVE-2023-25153和CVE-2023-25173的影响范围内,其它运行时的节点不受影响。
  • 使用Containerd客户端的应用程序在漏洞CVE-2023-25173的影响范围内。

下列版本的Containerd均在漏洞影响范围内:

  • v1.6.0~v1.6.17
  • ≤v1.5.17

社区在下列版本中修复了此问题:

  • v1.6.18
  • v1.5.18

防范措施

您可以通过以下措施进行漏洞修复。

  • 通过使用ACK安全策略治理的ACKAllowedRepos策略限制确保仅使用可信镜像,同时基于最小化权限原则,确保仅可信人员具有导入镜像的权限。更多信息,请参见配置容器安全策略(新版)
  • 漏洞修复前,在构建镜像的Dockerfile中请勿使用USER $USERNAME,同时将ENTRYPOINT设置为ENTRYPOINT ["su", "-", "user"]格式,允许su设置正确的附加组。
  • 关注容器服务ACK的Containerd版本发布公告,通过更新Containerd版本完成修复。关于Containerd版本发布记录,请参见Containerd运行时发布记录