近日,海外研究团队披露出Linux Netfilter本地权限提升漏洞,漏洞编号CVE-2021-22555。该漏洞在kCTF中被用于攻击Kubernetes Pod容器,实现容器逃逸。此漏洞影响较大,阿里云建议您及时自查并修复漏洞。
漏洞信息
漏洞编号:CVE-2021-22555
漏洞评级:高
影响范围:Linux内核版本大于等于
2.6.19(9fa492cdc160cd27ce1046cb36f47d3b2b1efa21)ECS受影响的镜像版本包括:
Alibaba Cloud Linux 2/3
CentOS 7/8
RedHat 7/8
Ubuntu 14/16/18/20
Debian 8/9/10
SUSE Linux Enterprise Server 12/15
OpenSUSE 42.3/15
详细描述
Linux Netfilter模块在实现IPT_SO_SET_REPLACE(或IP6T_SO_SET_REPLACE)setsockopt时,存在堆越界写入漏洞。该漏洞将允许本地用户通过用户命名空间获取权限提升,在kCTF中被用于攻击Kubernetes Pod容器,实现容器逃逸。该漏洞已在Linux内核代码中存在15年。
安全建议
如果您的ECS实例操作系统为Alibaba Cloud Linux 2,具体修复方案,请参见Alibaba Cloud Linux 2系统的CVE-2021-22555安全漏洞内核热补丁修复方案。
其他发行版的操作系统,请您尽快将Linux内核版本升级到如下所示的安全版本。
5.12(b29c457a6511435960115c0f548c4360d5f4801d)5.10.315.4.1134.19.1884.14.2314.9.2674.4.267
Red Hat提供的临时修补建议:
您可以通过运行以下命令禁止非特权用户执行CLONE_NEWUSER与CLONE_NEWNET,以缓解该漏洞产生的影响。
echo 0 > /proc/sys/user/max_user_namespaces相关链接
Linux: Heap Out-Of-Bounds Write in xt_compat_target_from_user
CVE-2021-22555 Detail
公告方
阿里云计算有限公司