- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:CVE-2021-22555
- 漏洞类型: 本地权限提升
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-07-19
- 更新时间:2021-07-23
漏洞简介
1、组件介绍
Netfilter,在Linux内核中的一个软件框架,用于管理网络数据包。不仅具有网络地址转换(NAT)的功能,也具备数据包内容修改、以及数据包过滤等防火墙功能。利用运作于用户空间的应用软件,如iptables、nftables、ebtables和arptables等,来控制Netfilter,系统管理者可以管理通过Linux操作系统的各种网络数据包。
现今许多市面上许多的IP分享器或无线网络路由器(Wireless router),多是嵌入式Linux平台,并利用Netfilter的数据包处理能力,提供NAT以及防火墙的功能。
2、漏洞描述
近日,深信服安全团队监测到一则Linux Netfilter组件存在本地权限提升漏洞的信息,漏洞编号:CVE-2021-22555,漏洞威胁等级:高危。
该漏洞是由于Linux内核模块Netfilter中存在一处本地权限 提升漏洞,在64位系统上为32位进程setsockopt IPT_SO_SET_REPLACE(或IP6T_SO_SET_REPLACE)时,如果内核选项CONFIG_USER_NS、CONFIG_NET_NS被开启,攻击者可通过该漏洞,实现本地权限提升,以及从docker、k8s容器中实施容器逃逸。
漏洞公示
参考网站
受影响实体
Linux操作系统在全世界范围内应用十分广泛。主要应用于中国、阿根廷、美国等国家及地区。
目前受影响的Linux Kernel版本:
Linux Kernel >= 2.6.19
Linux Kernel < 5.12
补丁
1、检测组件系统版本
使用hostnamectl命令查看Linux内核版本
2、官方解决方案
目前厂商已经升级版本以修复这个安全问题,请到厂商的主页下载:
https://mirrors.edge.kernel.org/pub/linux/kernel/
3、临时修复建议
根据RedHat的建议,用户可以实施以下操作通过禁用非特权用户执行CLONE_NEWUSER、CLONE_NEWNET,以缓解该漏洞带来的影响。