-
runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465) - 云容器引擎 CCE
runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465) 漏洞详情 业界安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。
-
NVIDIA GPU驱动漏洞公告(CVE-2021-1056) - 云容器引擎 CCE
NVIDIA GPU驱动漏洞公告(CVE-2021-1056) 漏洞详情 NVIDIA公布了关于NVIDIA GPU驱动的一个漏洞CVE-2021-1056,该漏洞是存在于NVIDIA GPU驱动程序中与设备隔离相关的安全漏洞。当容器以非特权模式启动,攻击者利用这个漏洞,通过在容器中创建
-
漏洞修复策略 - 云容器引擎 CCE
漏洞修复策略 集群漏洞修复周期 高危漏洞: Kubernetes社区发现漏洞并发布修复方案后,CCE一般在1个月内进行修复,修复策略与社区保持一致。 操作系统紧急漏洞按照操作系统修复策略和流程对外发布,一般在一个月内提供修复方案,用户自行修复。 其他漏洞: 按照版本正常升级流程解决。
-
Linux Polkit 权限提升漏洞预警(CVE-2021-4034) - 云容器引擎 CCE
/pwnkit.txt 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2021-4034 高 2022-01-28 漏洞影响 影响版本:所有目前主流的Linux版本 安全版本:查看各Linux厂商安全公告 漏洞处理方案 目前RedHat、Ub
-
Linux Kernel openvswitch 模块权限提升漏洞预警(CVE-2022-2639) - 云容器引擎 CCE
存在缺陷,导致本地经过身份认证的攻击者可以利用漏洞提升至root权限。目前漏洞poc已公开,风险较高。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2022-2639 高 2022-09-01 漏洞影响 1. 采用容器隧道网络的CCE集群,节点OS镜像使用了EulerOS
-
修复Kubernetes HTTP/2漏洞公告 - 云容器引擎 CCE
修复Kubernetes HTTP/2漏洞公告 漏洞详情 近期Kubernetes社区发布了与Go相关的安全漏洞CVE-2019-9512和CVE-2019-9514。具体的安全问题出现在Go语言的net/http库中,它会影响Kubernetes的所有版本和所有组件。这些漏洞可能导致所有处理HTTP或HTTPS
-
Sudo缓冲区错误漏洞公告(CVE-2021-3156) - 云容器引擎 CCE
5p1的所有稳定版本。成功利用此漏洞,任何没有特权的用户都可以在易受攻击的主机上获得root特权。 sudo是一个功能强大的实用程序,大多数基于Unix和Linux的操作系统都包含sudo。它允许用户使用其他用户的安全特权运行程序。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间
-
runc漏洞(CVE-2024-21626)对CCE服务的影响说明 - 云容器引擎 CCE
CCE服务的正常使用场景不受此漏洞影响。 仅当攻击者具备以下条件之一时,可利用该漏洞: 攻击者具有集群工作负载的创建或更新权限。 集群中工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限。 典型漏洞利用场景: 攻击者具有集群工作负载的创建或更新权限,创建工作负载时设置容器进程的WOR
-
runc systemd属性注入漏洞公告(CVE-2024-3154) - 云容器引擎 CCE
中,进而在宿主机中执行任意操作。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 代码执行 CVE-2024-3154 严重 2024-04-26 漏洞影响 攻击者利用runc的systemd cgroup特性进行攻击,可通过在Pod注解中注入恶意的s
-
linux内核导致的容器逃逸漏洞公告(CVE-2022-0492) - 云容器引擎 CCE
linux内核导致的容器逃逸漏洞公告(CVE-2022-0492) 漏洞详情 在某些场景下linux内核cgroup v1的release_agent特性存在可以被利用在容器内逃逸到OS上的安全问题,该问题已被收录为CVE-2022-0492。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间
-
Docker资源管理错误漏洞公告(CVE-2021-21285) - 云容器引擎 CCE
10.3之前的版本存在资源管理错误漏洞,攻击者可以利用该漏洞导致dockerd守护进程崩溃。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误 CVE-2021-21285 中 2021-02-02 漏洞影响 docker daemon组件在拉取镜像
-
Linux内核整数溢出漏洞(CVE-2022-0185) - 云容器引擎 CCE
用户可导致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误 CVE-2022-0185 高 2022-01-27 漏洞影响 容器内用户拥有CAP_SYS_ADMIN权限,并且内核版本在5
-
nginx-ingress插件安全漏洞预警公告(CVE-2021-25745,CVE-2021-25746) - 云容器引擎 CCE
nginx-ingress插件安全漏洞预警公告(CVE-2021-25745,CVE-2021-25746) 漏洞详情 Kubernetes开源社区中披露了2个nginx-ingress漏洞: 1. 漏洞CVE-2021-25745:用户有权限可以在创建/更新ingress时,利用‘spec.rules[]
-
Fluent Bit内存崩溃漏洞公告(CVE-2024-4323) - 云容器引擎 CCE
数已超过130亿次。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 缓冲区溢出 CVE-2024-4323 严重 2024-05-20 漏洞影响 Fluent Bit 版本2.0.7 - 3.0.3中存在堆缓冲区溢出漏洞,该漏洞存在于Fluent B
-
Kubernetes kube-apiserver输入验证错误漏洞公告(CVE-2020-8559) - 云容器引擎 CCE
据转发请求至其他目标节点,从而造成被攻击节点的权限提升漏洞。该漏洞为中危漏洞,CVSS评分为6.4。 如果有多个集群共享使用了相同的CA和认证凭证,攻击者可以利用此漏洞攻击其他集群,这种情况下该漏洞为高危漏洞。 对于此次漏洞的跨集群攻击场景,CCE集群使用了独立签发的CA,同时不
-
Kubernetes kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558) - 云容器引擎 CCE
Kubernetes kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558) 漏洞详情 Kubernetes官方发布安全公告,其核心组件kube-proxy存在主机边界绕过漏洞(CVE-2020-8558)。利用漏洞攻击者可能通过同一局域网下的容器,或在集群节点上访问
-
Kubernetes subpath符号链接交换安全漏洞(CVE-2021- 25741) - 云容器引擎 CCE
目录时,攻击者可能利用Symlink Exchange 访问除挂载目录之外的目录或者主机上的文件,造成越权。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误 CVE-2021-25741 中 2021-09-15 漏洞影响 该漏洞涉及VolumeS
-
CRI-O容器运行时引擎任意代码执行漏洞(CVE-2022-0811) - 云容器引擎 CCE
和执行任意代码。 该问题已被收录为CVE-2022-0811。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2022-0811 高 2021-03-16 漏洞影响 该漏洞影响范围为使用了CRI-O的Kubernetes集群,CRI-O的版本大于1
-
全面修复Kubernetes权限许可和访问控制漏洞公告(CVE-2018-1002105) - 云容器引擎 CCE
容器服务已在第一时间完成全面修复。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 华为云修复时间 权限提升 CVE-2018-1002105 严重 2018-12-05 2018-12-05 漏洞详细介绍:https://github.com/kubernet
-
containerd容器进程权限提升漏洞公告(CVE-2022-24769) - 云容器引擎 CCE
升到允许的cap集合。该问题已被收录为CVE-2022-24769。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2022-24769 低 2022-3-24 漏洞影响 containerd创建容器时默认把 Linux Process capabilities配置到