近日Linux社区公布了一个新的内核高危漏洞CVE-2022-0492。该漏洞能够用于主机提权,并绕过命名空间隔离限制。在某些条件下,可以用于容器提权和逃逸。

CVE-2022-0492漏洞被评估为高危漏洞,在CVSS的评分为7.0

影响范围

  • 该漏洞影响v2.6.24-rc1及以上Linux内核版本,修复版本为v5.17-rc3及以上内核版本。更多信息,请参见v5.17-rc3
  • 容器服务ACK目前线上所有节点内核版本均在该漏洞影响范围内。

漏洞影响

由于Kubernetes集群默认没有开启Seccomp防护,对于未设置no_new_privs参数的应用Pod和直接开启了CAP_SYS_ADMIN特性的应用Pod,如果以root用户权限启动,攻击者可以对它们发起逃逸攻击。在某些条件下可绕过内核命名空间的限制获取主机权限。

防范措施

  1. 阿里云操作系统团队已发布关于该漏洞的修复补丁,请您及时登录节点运行yum update kernel,将内核升级到最新版本。
  2. 临时止血方案:
    1. 使用运行时Seccomp配置限制应用Pod使用unshare系统调用,具体操作,请参见Create Pod that uses the container runtime default seccomp profile
    2. 不要部署Privileged特权容器或给应用Pod添加CAP_SYS_ADMIN内核能力,具体操作,请参见CAP_SYS_ADMIN