2020年12月1日,阿里云应急响应中心监测到 containerd 官方发布安全更新,修复了 Docker 容器逃逸漏洞(CVE-2020-15257)。
漏洞描述
Containerd 是一个控制 runC 的守护进程,提供命令行客户端和 API,用于在一个机器上管理容器。在特定网络条件下,攻击者可通过访问containerd-shim API,从而实现Docker容器逃逸。阿里云应急响应中心提醒 containerd 用户尽快采取安全措施阻止漏洞攻击。
影响版本
containerd < 1.4.3
containerd < 1.3.9
安全版本
containerd >= 1.4.3
containerd >= 1.3.9
安全建议
1. 升级 containerd 至最新版本。
2. 通过添加如 deny unix addr=@**的AppArmor策略禁止访问抽象套接字。
相关链接
https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4
相关阅读:
万字长文:Docker容器安全性分析
万字长文:聊聊几种主流Docker网络的实现原理
万字长文:编写Dockerfiles最佳实践
神话还是现实?Docker和Kubernetes的完美架构
中小团队基于Docker的DevOps实践
Docker:物理机vs虚拟机,五方面详细对比!
基于Kubernetes和Docker构建微服务之路
吐血总结:最为详细的Docker入门指南
最新最全 2020 云状态报告「69页PDF下载」
RightScale 2019年云状况调查报告:35% 的云支出被浪费「附50页PDF下载」
更多文章请关注
文章好看点这里[在看]?