漏洞缓解
cgroups-lxcfs-escape-mitigation
缓解 cgroups & lxcfs 逃逸。
若用户将宿主机的 cgroupfs 挂载进容器,或使用 lxcfs 为容器提供资源视图。在这两种场景下可能存在容器逃逸风险,攻击者可以在容器内改写 cgroupfs 实施容器逃逸。
此规则也可用于防御 CVE-2022-0492 漏洞利用。
AppArmor Enforcer 阻止在容器内修改:
/**/release_agent/**/devices/device.allow/**/devices/**/device.allow/**/devices/cgroup.procs/**/devices/**/cgroup.procs/**/devices/task/**/devices/**/task
BPF Enforcer 阻止在容器内修改:
/**/release_agent/**/devices.allow/**/cgroup.procs/**/devices/tasks
- AppArmor
- BPF
runc-override-mitigation
缓解通过改写 runc 实现的容器逃逸。
此规则用于缓解通过改写宿主机 runc 从而实现容器逃逸的漏洞,例如 CVE-2019-5736。
禁止改写 /**/runc 文件。
- AppArmor
- BPF
dirty-pipe-mitigation
缓解利用 Dirty Pipe 漏洞实现的容器逃逸。
此规则用于防御利用 CVE-2022-0847 (Dirty Pipe) 漏洞进行容器逃逸的攻击,您可以使用此规则在升级内核前对容器进行加固。
注:尽管禁用 splice 系统调用可能会对一些软件包产生问题,但对大多数合法应用来说都��不会产生影响,因为这个系统调用的使用相对罕见。
禁止调用 splice 系统调用。
- Seccomp
ingress-nightmare-mitigation
缓解 IngressNightmare 漏洞利用。
此规则用于缓解 Ingress-nginx 的 IngressNightmare (CVE-2025-1974) 漏洞。
Ingress-nginx 是 Kubernetes 的 Ingress 控制器,它使用 nginx 作为反向代理和负载均衡服务器。拥有 Pod 网络访问权限的攻击者,可利用此漏洞在 ingress-nginx controller 容器内执行任意代码,进而获取集群的所有 Secrets 并接管整个集群。您可以在升级 Ingress-nginx 到安全版本前,使用此规则进行缓解。
可参考下面的链接了解更多。
此规则禁止容器进程访问 ingress-nginx 和 kube-system 命名空间中�的 ingress-nginx-controller-admission 服务及其端点。
如果您将 ingress-nginx 部署在其他命名空间,那么可以根据 vArmor 的 Service 接口自定义规则进行防御。
- BPF