1.漏洞描述 containerd是美国阿帕奇（Apache）基金会的一个容器守护进程。该进程根据 RunC OCI 规范负责控制宿主机上容器的完整周期。containerd 存在安全漏洞，该漏洞源于自 v1.5.0-beta.0 起的 containerd 作为后备容器运行时接口 (CRI)，调度到节点的非特权 pod 可能会绑定 mount , 通过 hostPath 卷，磁盘上的任何特权的常规文件以进行完整的读/写访问（无删除）。 这是通过将 hostPath 卷挂载的容器内位置放置在`/etc/hosts`、`/etc/hostname` 或`/etc/resolv.conf` 来实现的。 这些位置被不加选择地重新标记以匹配容器进程标签，这有效地提升了通常无法访问特权主机文件的精明容器的权限。 此问题已在 1.5.9 版中解决。 建议用户尽快升级。 2.影响产品(系统版本 是否受影响) 银河麒麟高级服务器操作系统 V10 SP1 不影响 银河麒麟高级服务器操作系统 V10 SP2 不影响 银河麒麟高级服务器操作系统 V10 SP3 不影响 银河麒麟高级服务器操作系统（Host版）V10 不影响 银河麒麟高级服务器操作系统 V10 HPC 不影响 银河麒麟高级服务器操作系统 V10 SP3 2403 不影响 银河麒麟高级服务器操作系统 V10 SP3 2309a 不影响 银河麒麟云底座操作系统 V10 不影响 银河麒麟高级服务器操作系统 V10 SP3 2309b 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2021-43816 低等 8.0 其他 漏洞评分向量：CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H 4.修复方案 无需修复