这是本节的多页打印视图。 点击此处打印.

返回本页常规视图.

修复的漏洞

1 - CVE-2021-41103

漏洞详情 漏洞详情(官方)

在容器根目录和一些系统插件中缺少必要的权限约束时,可使一个非特权的主机 Linux 用户拥有遍历容器文件系统并执行目标程序的权限。

漏洞影响

在多租户场景下,如果集群节点中的容器包含扩展权限(例如 setuid),非特权的 Linux 用户可能发现并执行该程序。如果非特权的主机 Linux 用户 UID 碰撞到了容器中执行程序的所属用户或组,这个非特权的 Linux 用户可以读写该文件从而导致越权访问。

漏洞评分

该漏洞为高危漏洞, CVSS 评分为 7.2。

防范措施

保证集群节点登录用户都是可信用户,限制非受信用户对集群节点的访问权限。 收敛容器 bundles 目录中不必要的扩展权限。

官方修复的版本

  • v1.4.11
  • v1.5.7

KLTS 修复的版本