1 - CVE-2021-41103
在容器根目录和一些系统插件中缺少必要的权限约束时,可使一个非特权的主机 Linux 用户拥有遍历容器文件系统并执行目标程序的权限。
漏洞影响
在多租户场景下,如果集群节点中的容器包含扩展权限(例如 setuid),非特权的 Linux 用户可能发现并执行该程序。如果非特权的主机 Linux 用户 UID 碰撞到了容器中执行程序的所属用户或组,这个非特权的 Linux 用户可以读写该文件从而导致越权访问。
漏洞评分
该漏洞为高危漏洞, CVSS 评分为 7.2。
防范措施
保证集群节点登录用户都是可信用户,限制非受信用户对集群节点的访问权限。 收敛容器 bundles 目录中不必要的扩展权限。
官方修复的版本
- v1.4.11
- v1.5.7