一、漏洞背景
近日,Openwall社区上公开了一个Linux内核AF_PACKET原生套接字内存破坏漏洞。根据细节描述,该漏洞出现在net/packet/af_packet.c中,由整数溢出导致越界写,可以通过它进行权限提升。该漏洞危害评级为高,编号为CVE-2020-14386。
二、受影响产品和缓解措施
1、受影响产品
该漏洞影响Linux发行版高于4.6的内核版本,包括:
Ubuntu Bionic (18.04) and newer
Debian 9
Debian 10
CentOS 8/RHEL 8
2、缓解措施
(1)修补系统
上游内核补丁如下:
(2)关闭CAP_NET_RAW功能 针对RHEL8,具体关闭步骤如下:
echo "user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf
sysctl -p /etc/sysctl.d/userns.conf
(3)针对一些受影响的容器产品,同样采取关闭CAP_NET_RAW功能进行缓解。
Kubernetes Pod安全策略:配置Pod安全策略以删除运行容器中的CAP_NET_RAW功能,参考链接:https://cloud.google.com/kubernetes-engine/docs/security-bulletins
三、相关概念
1、AF_PACKET套接字
网络协议栈中,原始套接字是一个特殊的套接字类型,从实现上可以分为两类,一类为链路层原始套接字;另