云容器引擎 CCE-containerd容器进程权限提升漏洞公告(CVE-2022-24769):漏洞影响

时间:2024-09-25 08:06:19

漏洞影响

containerd创建容器时默认把 Linux Process capabilities配置到 Inheritable 集合上,这会导致在容器内的进程在以 Non-Root 用户 execve() 执行可执行文件时Inheritable和文件的Inheritable集合的交集被添加到执行完execve后的进程的Permited集合中,出现非预期的“越权“行为。需要说明的是,这个越权并没有突破 execve 前的进程权限,仅仅是继承之前的 capabilities。

该漏洞的影响范围如下:

1. CCE Turbo 集群,使用了低于1.4.1-98版本的containerd作为kuberentes CRI运行时。

2. CCE集群containerd版本低于1.5.11以下的集群。

support.huaweicloud.com/bulletin-cce/CVE-2022-24769.html