Containerd社区披露了安全漏洞CVE-2022-23471,攻击者可以利用此漏洞使用特定的终端TTY请求,导致目标节点内存泄露,并最终耗尽主机内存,从而完成对节点服务的DoS攻击。
CVE-2022-23471漏洞被评估为中危漏洞。在CVSS的评分为6.5。
影响范围
下列版本的Containerd均在此漏洞影响范围内:
- v1.6.0~v1.6.11
- <v1.5.16
社区在下列版本中修复了此问题:
- v1.6.12
- v1.5.16
关于此漏洞的详细信息,请参见CVE-2022-23471。
漏洞影响
在CRI流服务器中,当您通过exec或attach等容器IO操作发起TTY终端请求时,后台会随之启动一个goroutine协程来处理终端的resize调整事件。如果进程由于错误命令等原因而无法启动,goroutine会在没有接收器的情况下一直等待发送,导致内存泄露。
此漏洞会影响使用Containerd运行时的集群。
防范措施
- 确保集群中运行的应用使用可信来源的镜像。
- 严格控制集群访问权限,确保只有可信用户可以在容器中执行命令。