一、概要

近日，华为云关注到Containerd官方发布安全公告，披露一处Docker 容器逃逸漏洞（CVE-2020-15257）。Containerd是一个支持Docker和常见Kubernetes配置的容器运行时管理组件，它处理与容器化有关的抽象，并提供API以管理容器的生命周期。在特定的条件下，可以通过访问containerd-shim API，来实现Docker容器逃逸。

华为云提醒使用Containerd的用户尽快安排自检并做好安全加固。

参考链接：

https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

containerd < 1.4.3

containerd < 1.3.9

安全版本：

containerd 1.4.3

containerd 1.3.9

四、漏洞处置

1、目前官方已在新版本中修复了该漏洞，请受影响的用户及时升级至安全版本。

https://github.com/containerd/containerd/releases

2、添加类似于deny unix addr=@**的策略来拒绝通过AppArmor访问所有抽象套接字。

注：修复漏洞前请将资料备份，并进行充分测试。