漏洞概述 该漏洞涉及在沙箱容器中通过特权升级进行攻击。具体来说,攻击者可以通过访问主机守护进程来启动特权容器,从而绕过现有的安全措施。 影响范围 受影响组件: 和 具体影响: - 函数中的 标志未能完全防止特权升级。 - 操作未完全移除所有不必要的 Linux 能力。 修复方案 1. - RunContainer 硬ening - 设置 以防止 和文件能力升级。 - 设置 以防止 fork-bomb 和资源耗尽。 - 添加启动警告,当 时提醒操作员存在 socket 逃逸风险。 - 更正注释,说明 并不能完全缓解 socket 逃逸问题。 2. - CapDrop ALL - 移除所有 Linux 能力,仅保留 和可选的 。 - 移除 14 个不必要的 Linux 能力(如 , , 等)。 3. - 将 默认值从 改为 (与配置 go env 默认值 "false" 对齐)。 - 扩展注释,说明 socket 逃逸风险和 Docker 代理、rootless/sybox 的替代方案。 未解决的问题 根本原因(进程可以通过 POST 到 Docker 套接字启动特权容器)未被解决。 防御性缓解措施包括 、Docker 代理或 rootless/sybox。 该 PR 仅进行安全加固,根本问题需后续解决。 测试 页面中未提供具体的测试代码或 POC 代码。