一、概要

近日，華為云關(guān)注到Containerd官方發(fā)布安全公告，披露一處Docker 容器逃逸漏洞（CVE-2020-15257）。Containerd是一個支持Docker和常見Kubernetes配置的容器運行時管理組件，它處理與容器化有關(guān)的抽象，并提供API以管理容器的生命周期。在特定的條件下，可以通過訪問containerd-shim API，來實現(xiàn)Docker容器逃逸。

華為云提醒使用Containerd的用戶盡快安排自檢并做好安全加固。

參考鏈接：

https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

containerd < 1.4.3

containerd < 1.3.9

安全版本：

containerd 1.4.3

containerd 1.3.9

四、漏洞處置

1、目前官方已在新版本中修復(fù)了該漏洞，請受影響的用戶及時升級至安全版本。

https://github.com/containerd/containerd/releases

2、添加類似于deny unix addr=@**的策略來拒絕通過AppArmor訪問所有抽象套接字。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。