文档

漏洞公告 | Linux Netfilter本地权限提升漏洞(CVE-2021-22555)

更新时间:

近日,海外研究团队披露出Linux Netfilter本地权限提升漏洞,漏洞编号CVE-2021-22555。该漏洞在kCTF中被用于攻击Kubernetes Pod容器,实现容器逃逸。此漏洞影响较大,阿里云建议您及时自查并修复漏洞。

漏洞信息

  • 漏洞编号:CVE-2021-22555

  • 漏洞评级:高

  • 影响范围:Linux内核版本大于等于2.6.19(9fa492cdc160cd27ce1046cb36f47d3b2b1efa21)

  • ECS受影响的镜像版本包括:

    • Alibaba Cloud Linux 2/3

    • CentOS 7/8

    • RedHat 7/8

    • Ubuntu 14/16/18/20

    • Debian 8/9/10

    • SUSE Linux Enterprise Server 12/15

    • OpenSUSE 42.3/15

详细描述

Linux Netfilter模块在实现IPT_SO_SET_REPLACE(或IP6T_SO_SET_REPLACE)setsockopt时,存在堆越界写入漏洞。该漏洞将允许本地用户通过用户命名空间获取权限提升,在kCTF中被用于攻击Kubernetes Pod容器,实现容器逃逸。该漏洞已在Linux内核代码中存在15年。

安全建议

如果您的ECS实例操作系统为Alibaba Cloud Linux 2,具体修复方案,请参见Alibaba Cloud Linux 2系统的CVE-2021-22555安全漏洞内核热补丁修复方案

其他发行版的操作系统,请您尽快将Linux内核版本升级到如下所示的安全版本。

  • 5.12(b29c457a6511435960115c0f548c4360d5f4801d)

  • 5.10.31

  • 5.4.113

  • 4.19.188

  • 4.14.231

  • 4.9.267

  • 4.4.267

Red Hat提供的临时修补建议:

您可以通过运行以下命令禁止非特权用户执行CLONE_NEWUSER与CLONE_NEWNET,以缓解该漏洞产生的影响。

echo 0 > /proc/sys/user/max_user_namespaces

相关链接

公告方

阿里云计算有限公司