漏洞描述
近日,百度云安全团队监测发现 Linux 发行版存在一个权限提升漏洞(CVE-2020-14386),漏洞详情参考CVE-2020-14386。 攻击者可以利用该漏洞进行越界写操作,进而造成权限提升、容器逃逸以及内存访问错误导致系统崩溃的风险。
该漏洞出现在 net/packet/af_packet.c 文件中,触发需要本地低权限用户或可执行文件具有 CAP_NET_RAW 权限。 一般非 root 用户无 CAP_NET_RAW 权限,但在较高版本 Linux 中非 root 用户可以通过创建 user namespace 的方式成为新 user namespace 中的 root 用户,进而获得该权限。 此外,K8S 创建出的 Docker 容器被默认拥有 CAP_NET_RAW 权限,因此存在触发漏洞的可能性。
漏洞编号:CVE-2020-14386
漏洞等级:高危
影响范围
Linux kernel 4.6 至 5.9-rc4
受影响的发行版系统:
- Ubuntu 18.04 及后续版本
- Centos 8/RHEL 8
- Debian 9/10
相关安全建议
升级 Linux Kernel 版本 或 禁用容器 CAP_NET_RAW 权限。
升级 Linux Kernel 版本
-
升级内核至安全版本或应用修复补丁
内核下载地址: https://github.com/torvalds/linux/releases
补丁地址:https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=acf69c946233259ab4d64f8869d4037a198c7f06
禁用容器 CAP_NET_RAW 权限
-
在容器的 Spec 配置中删除容器的 CAP_NET_RAW 权限。
spec: containers: - name: your-container ... securityContext: capabilities: drop: ["NET_RAW"] -
大多数情况下容器无需 CAP_NET_RAW 权限。K8S 在配置 PodSecurityPolicy(PSP)后,可通过PSP策略删除容器的 CAP_NET_RAW 权限。
apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: mypsp spec: ... requiredDropCapabilities: - 'NET_RAW'
