漏洞CVE-2020-14386修复公告

更新时间：2024-05-22

漏洞描述

近日，百度云安全团队监测发现 Linux 发行版存在一个权限提升漏洞(CVE-2020-14386)，漏洞详情参考CVE-2020-14386。攻击者可以利用该漏洞进行越界写操作，进而造成权限提升、容器逃逸以及内存访问错误导致系统崩溃的风险。

该漏洞出现在 net/packet/af_packet.c 文件中，触发需要本地低权限用户或可执行文件具有 CAP_NET_RAW 权限。一般非 root 用户无 CAP_NET_RAW 权限，但在较高版本 Linux 中非 root 用户可以通过创建 user namespace 的方式成为新 user namespace 中的 root 用户，进而获得该权限。此外，K8S 创建出的 Docker 容器被默认拥有 CAP_NET_RAW 权限，因此存在触发漏洞的可能性。

漏洞编号：CVE-2020-14386
漏洞等级：高危

影响范围

Linux kernel 4.6 至 5.9-rc4

受影响的发行版系统：

Ubuntu 18.04 及后续版本
Centos 8/RHEL 8
Debian 9/10

相关安全建议

升级 Linux Kernel 版本或禁用容器 CAP_NET_RAW 权限。

升级 Linux Kernel 版本

升级内核至安全版本或应用修复补丁
内核下载地址： https://github.com/torvalds/linux/releases
补丁地址：https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=acf69c946233259ab4d64f8869d4037a198c7f06

禁用容器 CAP_NET_RAW 权限

在容器的 Spec 配置中删除容器的 CAP_NET_RAW 权限。

spec:
containers:
    - name: your-container
      ...
      securityContext:
          capabilities:
              drop: ["NET_RAW"]

大多数情况下容器无需 CAP_NET_RAW 权限。K8S 在配置 PodSecurityPolicy（PSP）后，可通过PSP策略删除容器的 CAP_NET_RAW 权限。
```
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
 name: mypsp
spec:
 ...
 requiredDropCapabilities:
   - 'NET_RAW'
```

修复漏洞CVE-2021-30465公告

漏洞CVE-2019-5736修复公告

百度智能云

容器引擎 CCE