1、Containerd组件介绍

Containerd 是一个工业级标准的容器运行时守护进程，能够管理容器的生命周期，提供存储管理和运行容器的功能，并可管理容器网络接口及网络，包括了ctr命令行客户端以及runc运行容器工具。

2、漏洞分析

Containerd部分版本的API套接字将有效用户ID设为0，但没有限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络命名空间中运行恶意容器，从而导致以root权限运行新进程。

1、修复方案

升级Containerd到1.3.9或1.4.3版本

2、临时解决方案
通过使用AppArmor添加类似于deny unix addr=@**,的策略拒绝访问抽象套接字。