集装箱逃逸- CVE-2022-0492 -混合cgroup?
我看到了最近的CVE-2022-0492,它可以使容器转义,我对cgroup和容器功能有相当的理解,但不太熟悉混合cgroup v1/v2是如何工作的,也不太熟悉cgroup和功能如何协同工作。但是,查看提交,易受攻击的代码仅与cgroup v1相关。
因此,我的问题是,这是否仅在使用cgroup v1作为容器时才可利用,还是主机在使用cgroup v1时也易受攻击,但在混合模式下使用cgroup v2作为容器命名空间?对主机和容器使用cgroup v2是否减少了攻击面?
回答 1
Security用户
发布于 2022-03-07 02:52:26
但是,查看提交,易受攻击的代码只与cgroup v1相关。
是。
不太熟悉混合cgroup v1/v2是如何工作的,也不太熟悉cgroup和功能是如何协同工作的。
检查https://github.com/systemd/systemd/blob/main/docs/CGROUP_DELEGATION.md
如果这仅在对容器使用cgroup v1时才可利用,或者主机在使用cgroup v1时也易受攻击,但在混合模式下使用cgroup v2作为容器命名空间?
这里,我使用Ubuntu20.04.2LTS作为主机。systemd --version显示该操作系统以混合模式运行。您可以通过mount | grep -i cgroup检查它,您将看到fstype cgroup和cgroup2同时存在。但是,在默认情况下,docker system info会告诉您,它们在cgroup v1下运行容器。在cgroup v2中运行的容器不会受到攻击。
对主机和容器使用cgroup v2是否减少了攻击面?
我也这么想。
https://security.stackexchange.com/questions/260094
复制相似问题
腾讯云开发者
