尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，国外研究团队披露Linux内核安全漏洞，漏洞编号：CVE-2021-22555，普通用户可以通过利用此漏洞获取root权限。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Linux Netfilter模块为内核中用于管理网络数据包的一个软件框架，iptables，nftables等工具均是基于 Netfilter所开发。

Linux内核模块Netfilter中存在一处权限提升漏洞，在64 位系统上为 32 位进程处理 setsockopt IPT_SO_SET_REPLACE（或 IP6T_SO_SET_REPLACE）时，如果内核选项CONFIG_USER_NS 、CONFIG_NET_NS被开启，则攻击者可以通过该漏洞实现权限提升，以及从docker、k8s容器中实施容器逃逸。

风险等级

高

漏洞风险

攻击者可利用该漏洞造成提升权限，拒绝服务等危害，漏洞细节已公开

影响版本

Linux Kernel版本 >=2.6.19 (9fa492cdc160cd27ce1046cb36f47d3b2b1efa21)

安全版本

Linux Kernel 版本 5.12 (b29c457a6511435960115c0f548c4360d5f4801d), 5.10.31, 5.4.113, 4.19.188, 4.14.231, 4.9.267, 4.4.267

修复建议

目前上述Linux内核安全版本已修复相关漏洞，请检查所使用的Linux内核版本，并酌情及时升级至安全版本。

官方网站：https://www.kernel.org/

临时修补建议
根据 RedHat 的建议，用户可以实施以下操作通过禁用非特权用户执行CLONE_NEWUSER、CLONE_NEWNET，以缓解该漏洞带来的影响
echo 0 > /proc/sys/user/max_user_namespaces

【备注】：建议您在升级前做好数据备份工作，测试并评估业务运行状况，避免出现意外

漏洞参考

https://github.com/google/security-research/security/advisories/GHSA-xxx5-8mvq-3528