关于可导致容器逃逸和本地提权的Linux内核溢出漏洞预警 （CVE-2022-0185）

2022-01-28

一、概要

近日，华为云关注到国外安全研究团队披露在Linux内核组件中存在一处高危的缓冲区溢出漏洞（CVE-2022-0185），由于Linux FS模块中的legacy_parse_param()函数对size校验存在缺陷，普通用户可以利用此漏洞获取root权限，如果在容器场景下，可以从docker、k8s容器中实施容器逃逸（目前POC/EXP已公开），风险较高。

华为云提醒用户及时安排自检并做好安全加固。

参考链接：https://blog.aquasec.com/cve-2022-0185-linux-kernel-container-escape-in-kubernetes

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、影响范围

影响版本：

5.1-rc1 <= Linux kernel < 5.16.2

安全版本：

Linux kernel 5.4.174

Linux kernel 5.10.94

Linux kernel 5.15.17

Linux kernel 5.16.2、Linux kernel 5.16.3

四、漏洞处置

非容器场景（风险：本地权限提升）：

1、目前Kernel官方已提供安全版本修复了该漏洞，请受影响的用户及时升级至安全版本：https://www.kernel.org/

2、根据RedHat官方的建议，实施以下操作通过禁用非特权用户执行CLONE_NEWUSER、CLONE_NEWNET来进行缓解

echo 0 > /proc/sys/user/max_user_namespaces

容器场景（风险：容器逃逸）

1、升级至安全的内核版本

2、执行echo 0 > /proc/sys/user/max_user_namespaces 进行缓解

3、开启容器的seccomp功能来规避容器逃逸风险（请用户在开启前评估可能对性能和业务带来的影响）

各大Linux厂商的修复版本，具体请关注各厂商安全公告：RedHat、Ubuntu、SUSE、Debian

华为云云容器引擎CCE服务不受该漏洞影响，EulerOS不受该漏洞影响。

注：修复漏洞前请将资料备份，并进行充分测试。