首页 科技内容详情
以太坊开奖网(www.326681.com):CVE-2022-0185:Linux kernel bug可实现Kubernetes容器逃逸

以太坊开奖网(www.326681.com):CVE-2022-0185:Linux kernel bug可实现Kubernetes容器逃逸

分类:科技

标签: # 漏洞

网址:

SEO查询: 爱站网 站长工具

点击直达


Linux kernel bug可实现Kubernetes容器逃逸。

漏洞概述

近年来,容器已成为网络安全领域新的攻击目标。研究人员近日在Linux kernel中发现一个新的安全漏洞——CVE-2022-0185。该漏洞是Linux kernel "File System Context"(文件系统环境)组件中的一个堆缓存溢出漏洞,攻击者利用该漏洞可以实现越界写、权限提升、DoS和任意代码执行。

要利用该漏洞,攻击者必须有一个特殊的Linux 功能——CAP_SYS_ADMIN。攻击者需要使用非特权的命名空间或使用unshare 来进入含有CAP_SYS_ADMIN 权限的命名空间。该功能并不是Docker环境的默认设置,在启动容器时使用"–privileged"并不常见。而且Docker的"seccomp"过滤会默认拦截unshare命令,所以运行该命令一般是不允许的。


在Kubernetes集群中使用docker时,seccomp过滤默认是禁用的。在Kubernetes中运行容器的区别:

kubectl run -it ubutest2 --image=ubuntu:20.04 /bin/bash

容器运行后,就可以安装和使用pscap工具来检查有哪些能力:


目前相关的能力是没有的。但是如果使用unshare命令,就可以并不会被拦截,新shell具有所有的能力,使得系统也受到该漏洞的影响:

,

以太坊开奖网www.326681.com)采用以太坊区块链高度哈希值作为统计数据,以太坊开奖网(联博统计)数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多语言接入

,

Kubernetes中正常运行unshare命令

攻击者可以运行该命令并获取具有完全能力的shell,包括在被入侵的系统中以root权限运行代码。触发该漏洞后,攻击者可以修改kernel内存中的值,并访问节点上运行的任意进程。

PoC参见:https://twitter.com/clubby789/status/1484482788313255939?s=20

漏洞影响

该漏洞影响5.1-rc1以来的所有Linux kernel版本,包括最新的5.4.173、5.10.93、5.15.1。也影响Ubuntu 20/21、Debian 11和部分Red Hat包。

修复方法

用户可以升级Linux kernel到5.16.2版本来修复该漏洞。但是该修复版本并不适用于所有Linux发行版,包括那些使用Linux kernel开发的系统。对于这些暂时没有可用补丁的系统,建议用户禁用非特权用户命名空间。

在Ubuntu系统中,可以使用以下命令来禁用非特权命名空间:

sysctl -w kernel.unprivileged_userns_clone=0

Red Hat 用户可以使用以下命令来禁用用户命名空间:

, echo "user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf
, sysctl -p /etc/sysctl.d/userns.conf

如果用户需要非特权容器,需要确保seccomp过滤器拦截了unshare调用。

完整技术细节参见:https://blog.aquasec.com/cve-2022-0185-linux-kernel-container-escape-in-kubernetes

本文翻译自:https://www.bleepingcomputer.com/news/security/linux-kernel-bug-can-let-hackers-escape-kubernetes-containers/
  • 澳洲幸运5(www.a55555.net) @回复Ta

    2022-02-14 00:00:33 

    甄嬛顶着周冬雨的脸在语言,好新鲜啊。给周冬雨配音的季冠霖那方自然也受到了不少的骚扰,终于憋不住出来“诉苦伸冤”了:观众老爷们,不应是我的锅啊。氪金我都愿意

  • 皇冠线上开户(www.huangguan.us) @回复Ta

    2022-03-09 00:04:06 

      到达现场后,民警了解得知,小周极有可能遭遇网络炒股诈骗,要求其千万不要将40万元钱转入对方提供的账户。但小周却坚称老师不可能骗他的,理直气壮说道:“如果这是诈骗,昨天我还转了100万到我老师推荐的炒股APP内。”还有上升空间

  • ug环球代理开户(www.ugbet.us) @回复Ta

    2022-06-22 00:01:01 

      截至目前,美国今年已发生246起大规模枪击案。2020年同期发生了161起大规模枪击案,2019年期间则为154起。(央视记者 殷岳)看得很开心呢

发布评论