平台
go
组件
github.com/cri-o/cri-o
修复版本
1.30.1
1.29.5
1.28.7
1.28.7
1.28.7
1.28.7
CVE-2024-5154 是一个高危漏洞,存在于 github.com/cri-o/cri-o 组件中。该漏洞允许恶意容器在主机外部创建名为“mtab”的符号链接,可能导致容器逃逸和主机文件系统访问。受影响的版本包括 1.28.7 之前的版本。建议用户尽快升级到 1.28.7 或更高版本以修复此问题。
此漏洞的潜在影响非常严重。攻击者可以利用恶意容器创建符号链接,从而绕过容器隔离机制,访问主机文件系统。这可能导致攻击者读取、写入甚至执行主机上的敏感数据和代码。攻击者可以利用此漏洞窃取凭据、安装恶意软件、破坏系统或进行横向移动,进一步扩大攻击范围。由于 cri-o 是 Kubernetes 的一个关键组件,该漏洞可能影响使用 Kubernetes 的整个集群,造成广泛的安全风险。
该漏洞已公开披露,目前尚未观察到大规模利用。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。建议用户密切关注安全社区的动态,及时获取最新的漏洞信息和缓解措施。由于该漏洞涉及容器逃逸,因此可能成为攻击者的目标。
Organizations heavily reliant on containerized applications using cri-o are at risk. This includes Kubernetes clusters and environments utilizing cri-o as a container runtime. Specifically, deployments with lenient container isolation policies or those running older, unpatched cri-o versions are particularly vulnerable.
• linux / server:
journalctl -u cri-o -g "symlink creation"• linux / server:
find / -name mtab -type l• linux / server:
ps aux | grep cri-o | grep -i mtabdisclosure
漏洞利用状态
EPSS
1.68% (82% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到 cri-o 1.28.7 或更高版本。如果升级不可行,可以考虑以下临时缓解措施:限制容器的权限,使其无法创建符号链接;使用 AppArmor 或 SELinux 等安全模块来限制容器的访问权限;监控容器的活动,及时发现异常行为。升级后,请验证符号链接是否已成功删除,并确认容器隔离机制是否正常工作。
Actualice cri-o a la versión 1.30.1 o superior, o a las versiones indicadas en los advisories de Red Hat (RHSA-2024:10818, RHSA-2024:3676, RHSA-2024:3700). Esto evitará que contenedores maliciosos creen enlaces simbólicos en el host y accedan a archivos arbitrarios.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-5154 是一个高危漏洞,存在于 cri-o 组件中,允许恶意容器在主机外部创建符号链接,可能导致容器逃逸和主机文件系统访问。
如果您正在使用 cri-o 1.28.7 之前的版本,则可能受到此漏洞的影响。请立即检查您的版本并升级。
最有效的修复方法是升级到 cri-o 1.28.7 或更高版本。如果无法升级,请参考缓解措施,例如限制容器权限。
目前尚未观察到大规模利用,但由于该漏洞的严重性,建议用户密切关注安全动态。
请访问 cri-o 的官方安全公告页面,获取有关此漏洞的详细信息和修复建议:https://github.com/cri-o/cri-o/security/advisories/GHSA-xxxx-xxxx-xxxx
上传你的 go.mod 文件,立即知道是否受影响。