CVE-2018-15664漏洞分析报告

近日来自SUSE的安全专家Aleksa Sarai公布了编号为CVE-2018-15664的docker相关高危安全漏洞，该漏洞的CVSS评分为8.7，影响面涵盖所有docker发行版本，攻击者可利用该漏洞逃逸出容器读取或篡改host或其他任意容器内的文件，当前docker官方已经给出了临时方案以降低攻击面并将于下个release版本发布。

漏洞描述

该漏洞的根因是使用FollowSymlinkInScope函数时触发TOCTTOU(time-of-check-to-time-of-use) 文件系统的竞争条件缺陷引起的。这段函数代码在docker源码中使用较多，最为直接的就是docker cp命令。根据Sarai的描述：FollowSymlinkInScope的作用是解析容器中运行进程的文件路径，而攻击者可以利用解析校验完成