containerd 安全漏洞 CVE-2021-43816 CNNVD-202201-295

6.0 AV AC AU C I A
发布: 2022-01-05
修订: 2023-11-07

containerd是美国阿帕奇(Apache)基金会的一个容器守护进程。该进程根据 RunC OCI 规范负责控制宿主机上容器的完整周期。 containerd 存在安全漏洞,该漏洞源于自 v1.5.0-beta.0 起的 containerd 作为后备容器运行时接口 (CRI),调度到节点的非特权 pod 可能会绑定 mount , 通过 hostPath 卷,磁盘上的任何特权的常规文件以进行完整的读/写访问(无删除)。 这是通过将 hostPath 卷挂载的容器内位置放置在`/etc/hosts`、`/etc/hostname` 或`/etc/resolv.conf` 来实现的。 这些位置被不加选择地重新标记以匹配容器进程标签,这有效地提升了通常无法访问特权主机文件的精明容器的权限。 此问题已在 1.5.9 版中解决。 建议用户尽快升级。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有13条受影响产品信息