关键漏洞信息 漏洞标题 containerd CRI plugin: Unprivileged pod using can side-step SELinux 发布信息 发布人: dmcgowan 发布时间: 2022年1月6日 GHSA ID: GHSA-mvff-h3cj-wj9c CVE ID: CVE-2021-43816 影响范围 受影响版本: >= 1.5.0, < 1.5.9 修复版本: 1.5.9 描述 影响: 通过 containerd 的 CRI 实现启动的容器在使用 SELinux 的 Linux 系统上,由于hostPath 卷的特殊配置绑定挂载,可能会导致文件和目录的标签重命名,与容器进程标签匹配,从而提升容器权限,获得受影响文件和目录的完全读写访问权限。 条件: 仅在使用 containerd CRI 实现的情况下受影响,Kubernetes 和 crictl 也可能配置为使用 containerd 的 CRI 实现。 修复 修复版本: 问题已在 containerd 1.5.9 中修复。用户应尽快更新并验证主机上所有文件的标签正确性。 解决方案 确保策略: 不使用敏感文件或目录作为 hostPath 卷源位置。例如,可以使用 Kubernetes Pod Security Policy 中的 AllowedHostPaths 来限制可绑定挂载的文件和目录。 进一步信息 开发者可以: - 在 containerd 中打开问题 - 通过邮箱 与开发者联系