CVE-2021-41103

1 分钟阅读时间

漏洞详情漏洞详情(官方)

在容器根目录和一些系统插件中缺少必要的权限约束时，可使一个非特权的主机 Linux 用户拥有遍历容器文件系统并执行目标程序的权限。

漏洞影响

在多租户场景下，如果集群节点中的容器包含扩展权限（例如 setuid），非特权的 Linux 用户可能发现并执行该程序。如果非特权的主机 Linux 用户 UID 碰撞到了容器中执行程序的所属用户或组，这个非特权的 Linux 用户可以读写该文件从而导致越权访问。

漏洞评分

该漏洞为高危漏洞， CVSS 评分为 7.2。

防范措施

保证集群节点登录用户都是可信用户，限制非受信用户对集群节点的访问权限。收敛容器 bundles 目录中不必要的扩展权限。

官方修复的版本

v1.4.11
v1.5.7

KLTS 修复的版本

v1.3.10-lts.1 CVE-2021-41103.1.3.patch

Feedback

Was this page helpful?

Glad to hear it! Please tell us how we can improve.

Sorry to hear that. Please tell us how we can improve.

最后修改 2022.03.08 : Rename v1.x.x to v1.x for containerd (4ab20e9e)