• 我的位置:
  • 首页
  • -
  • 漏洞预警
  • -
  • 操作系统
  • -
  • Linux Netfilter本地权限提升漏洞 CVE-2021-22555
    • CNNVD编号:未知
    • 危害等级: 高危 
    • CVE编号:CVE-2021-22555
    • 漏洞类型: 本地权限提升
    • 威胁类型:未知
    • 厂       商:未知
    • 漏洞来源:深信服
    • 发布时间:2021-07-19
    • 更新时间:2021-07-23

    漏洞简介

    1、组件介绍

    Netfilter,在Linux内核中的一个软件框架,用于管理网络数据包。不仅具有网络地址转换(NAT)的功能,也具备数据包内容修改、以及数据包过滤等防火墙功能。利用运作于用户空间的应用软件,如iptables、nftables、ebtables和arptables等,来控制Netfilter,系统管理者可以管理通过Linux操作系统的各种网络数据包。

    现今许多市面上许多的IP分享器或无线网络路由器(Wireless router),多是嵌入式Linux平台,并利用Netfilter的数据包处理能力,提供NAT以及防火墙的功能。


    2、漏洞描述

    近日,深信服安全团队监测到一则Linux Netfilter组件存在本地权限提升漏洞的信息,漏洞编号:CVE-2021-22555,漏洞威胁等级:高危。

    该漏洞是由于Linux内核模块Netfilter中存在一处本地权限 提升漏洞,在64位系统上为32位进程setsockopt IPT_SO_SET_REPLACE(或IP6T_SO_SET_REPLACE)时,如果内核选项CONFIG_USER_NS、CONFIG_NET_NS被开启,攻击者可通过该漏洞,实现本地权限提升,以及从docker、k8s容器中实施容器逃逸。

    漏洞公示

    暂无

    参考网站

    暂无

    受影响实体

    Linux操作系统在全世界范围内应用十分广泛。主要应用于中国、阿根廷、美国等国家及地区。

    目前受影响的Linux Kernel版本:

    Linux Kernel >= 2.6.19

    Linux Kernel < 5.12 

    补丁

    1、检测组件系统版本

    使用hostnamectl命令查看Linux内核版本



    2、官方解决方案

    目前厂商已经升级版本以修复这个安全问题,请到厂商的主页下载:

    https://mirrors.edge.kernel.org/pub/linux/kernel/

    3、临时修复建议

    根据RedHat的建议,用户可以实施以下操作通过禁用非特权用户执行CLONE_NEWUSER、CLONE_NEWNET,以缓解该漏洞带来的影响。