containerd社区披露了CVE-2024-40635安全漏洞,容器启动时,当设置的UID或GID超过32位有符号整数的最大值时,会导致溢出且最终以root用户(UID 0)的身份启动。攻击者可以利用该漏洞要求容器在非root用户运行的环境下进行非预期的越权攻击。
该漏洞被评估为中危漏洞,CVSS评分为4.6。更多信息,请参见containerd社区官方公告。
影响范围
以下版本的containerd运行时均在影响范围内:
<1.6.38
<1.7.27
<2.0.4
社区在以下版本中修复了该问题:
2.0.4 (Fixed in 1a43cb6)
1.7.27 (Fixed in 05044ec)
1.6.38 (Fixed in cf158e8)
解决方案
请您关注并参考containerd运行时发布记录,及时更新集群运行时至漏洞修复的版本。请参见升级节点池。
防范措施
您可以通过部署策略ACKPSPAllowedUsers限制在集群指定范围内部署的Pod中的启动UID和GID。
您可以使用Notation和Ratify进行OCI制品的加签和验签,确保只有受信镜像部署在集群中。