近日Linux社区披露了内核安全漏洞CVE-2022-0185,该漏洞源于Linux内核文件系统中参数处理的边界条件,攻击者可以利用漏洞发起DDos攻击或进一步逃逸容器,提权获取主机权限。本文介绍该漏洞的影响和影响范围,以及防范措施。

CVE-2022-0185漏洞被评估为高危漏洞,在CVSS的评分为7.8,关于漏洞的详细信息,请参见CVE-2022-0185

影响范围

CVE-2022-0185漏洞源于2019年3月份发布的5.1-rc1内核版本,Linux社区在2022年01月18日发布修复版本进行了漏洞修复,更多信息,请参见v5.17-rc1

  • 如果您的阿里云容器服务ACK集群节点的内核版本不是Alibaba Cloud Linux3,均不属于此次漏洞影响范围。
  • 您也可以使用如下命令确认集群节点的内核版本是否属于漏洞影响范围:
    kubectl get nodes -o jsonpath='{range .items[*]}{.metadata.name}{"\t"}{.status.nodeInfo.kernelVersion}{"\n"}{end}'

漏洞影响

在多租场景下,有应用部署或Pod exec权限的攻击者可以利用漏洞触发条件绕过校验实现内存的越界写入,从而导致节点系统崩溃,服务不可用;另外攻击者还可以通过执行特定的恶意代码实现容器逃逸,获得整个主机的root权限。

防范措施

  1. 请您及时关注Alibaba Cloud Linux3系统镜像修复版本发布的相关公告,并及时升级受影响节点的内核版本。
  2. 使用运行时默认Seccomp配置限制Pod使用unshare系统调用。具体配置方法,请参见Restrict a Container's Syscalls with seccomp;同时不要部署privileged特权容器,或给Pod添加CAP_SYS_ADMIN内核能力,具体操作,请参见CAP_SYS_ADMIN