Kubernetes社区公布了安全漏洞CVE-2021-25741,该漏洞可使攻击者使用软链接的方式在容器中挂载指定subPath配置的目录逃逸到主机敏感目录。本文介绍该漏洞的影响和影响范围,以及防范措施。

CVE-2021-25741漏洞被评估为高危漏洞,在CVSS的评分为8.8

影响范围

以下枚举的Kubernetes集群版本所安装的kubelet组件均存在该漏洞:
  • v1.22.0~v1.22.1
  • v1.21.0~v1.21.4
  • v1.20.0~v1.20.10
  • ≤v1.19.14
Kubernetes社区在以下版本修复了该漏洞:
  • v1.22.2
  • v1.21.5
  • v1.20.11
  • v1.19.15

关于该漏洞的详细信息,请参见#104980

漏洞影响

在多租户场景下,拥有以Root用户启动容器权限的恶意攻击者可以利用该漏洞逃逸至主机文件系统,获取主机敏感目录的读写权限。

修复措施

阿里云容器服务Kubernetes 1.20.11-aliyun.1版本已修复该漏洞,建议尽快升级到该修复版本。