所有文档

          容器引擎 CCE

          漏洞CVE-2020-14386修复公告

          漏洞描述

          近日,百度云安全团队监测发现 Linux 发行版存在一个权限提升漏洞(CVE-2020-14386),漏洞详情参考CVE-2020-14386。 攻击者可以利用该漏洞进行越界写操作,进而造成权限提升、容器逃逸以及内存访问错误导致系统崩溃的风险。

          该漏洞出现在 net/packet/af_packet.c 文件中,触发需要本地低权限用户或可执行文件具有 CAP_NET_RAW 权限。 一般非 root 用户无 CAP_NET_RAW 权限,但在较高版本 Linux 中非 root 用户可以通过创建 user namespace 的方式成为新 user namespace 中的 root 用户,进而获得该权限。 此外,K8S 创建出的 Docker 容器被默认拥有 CAP_NET_RAW 权限,因此存在触发漏洞的可能性。

          漏洞编号:CVE-2020-14386
          漏洞等级:高危

          影响范围

          Linux kernel 4.6 至 5.9-rc4

          受影响的发行版系统:

          • Ubuntu 18.04 及后续版本
          • Centos 8/RHEL 8
          • Debian 9/10

          相关安全建议

          升级 Linux Kernel 版本 或 禁用容器 CAP_NET_RAW 权限。

          升级 Linux Kernel 版本

          禁用容器 CAP_NET_RAW 权限

          • 在容器的 Spec 配置中删除容器的 CAP_NET_RAW 权限。

            spec:
            containers:
                - name: your-container
                  ...
                  securityContext:
                      capabilities:
                          drop: ["NET_RAW"]
          • 大多数情况下容器无需 CAP_NET_RAW 权限。K8S 在配置 PodSecurityPolicy(PSP)后,可通过PSP策略删除容器的 CAP_NET_RAW 权限。

            apiVersion: policy/v1beta1
            kind: PodSecurityPolicy
            metadata:
             name: mypsp
            spec:
             ...
             requiredDropCapabilities:
               - 'NET_RAW'
          上一篇
          常见问题
          下一篇
          漏洞CVE-2019-5736修复公告