阿里云漏洞库

该漏洞已被黑客武器化，用于大规模蠕虫传播、勒索挖矿，建议您立即关注并修复。

漏洞描述

containerd是美国阿帕奇（Apache）基金会的一个容器守护进程。该进程根据 RunC OCI 规范负责控制宿主机上容器的完整周期。

在版本1.3.9和1.4.3之前的containerd中，containerd-shim API被不正确地暴露给主机网络容器。shim API套接字的访问控制验证了连接进程的有效UID为0，但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与shim相同的网络名称空间中运行恶意容器（有效UID为0，但特权降低），从而导致新进程以提升的特权运行。

解决建议

升级该组件至最新的可用版本。
在未升级的情况下，可以采取以下一些防御措施：
1.请勿使用docker run --net = host运行docker容器。
2.请勿以root用户运行容器。

参考链接
https://github.com/containerd/containerd/commit/4a4bb851f5da563ff6e68a83dc837...
https://github.com/containerd/containerd/releases/tag/v1.4.3
https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://security.gentoo.org/glsa/202105-33
https://www.debian.org/security/2021/dsa-4865

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	linuxfoundation	containerd	*		Up to (excluding) 1.3.9
	运行在以下环境
	应用	linuxfoundation	containerd	*	From (including) 1.4.0	Up to (excluding) 1.4.3
	运行在以下环境
	系统	alpine_3.11	containerd	*		Up to (excluding) 1.3.9-r0
	运行在以下环境
	系统	alpine_3.12	docker	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.13	k3s	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.14	k3s	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.15	k3s	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.16	k3s	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.17	k3s	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.18	k3s	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	alpine_3.19	k3s	*		Up to (excluding) 19.03.14-r0
	运行在以下环境
	系统	amazon_2	containerd	*		Up to (excluding) 1.4.1-2.amzn2
	运行在以下环境
	系统	amazon_AMI	containerd	*		Up to (excluding) 1.4.1-2.6.amzn1
	运行在以下环境
	系统	debian_10	docker.io	*		Up to (excluding) 18.09.1+dfsg1-7.1+deb10u3
	运行在以下环境
	系统	debian_11	docker.io	*		Up to (excluding) 1.4.3~ds1-1
	运行在以下环境
	系统	debian_12	docker.io	*		Up to (excluding) 1.4.3~ds1-1
	运行在以下环境
	系统	fedora_33	containerd	*		Up to (excluding) 1.4.3-1.fc33
	运行在以下环境
	系统	opensuse_Leap_15.2	fish	*		Up to (excluding) 1.0.0rc10
	运行在以下环境
	系统	oracle_7	containerd	*		Up to (excluding) 1.3.9-2.el7
	运行在以下环境
	系统	ubuntu_16.04	containerd	*		Up to (excluding) 1.2.6-0ubuntu1~16.04.6
	运行在以下环境
	系统	ubuntu_18.04	containerd	*		Up to (excluding) 1.3.3-0ubuntu1~18.04.4
	运行在以下环境
	系统	ubuntu_20.04	containerd	*		Up to (excluding) 1.3.3-0ubuntu2.2

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

全局影响
EXP成熟度

漏洞武器化
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-669	在范围间的资源转移不正确

高危 Docker 容器逃逸漏洞（CVE-2020-15257）

漏洞描述

解决建议

参考链接

受影响软件情况