Уязвимость в библиотеке Go позволяет проводить DoS-атаки на контейнерные движки CRI-O и Podman
15 апреля 2021 года
Уязвимость в одной из библиотек Go, на которой основано открытое программное обеспечение для оркестровки контейнеризированных приложений Kubernetes, может привести к состоянию «отказа в обслуживании» (DoS) контейнерных движков CRI-O и Podman.
Проблема (CVE-2021-20291) затрагивает библиотеку Go под названием containers/storage. По словам исследователя безопасности Авива Сассона (Aviv Sasson) из подразделения Unit 42 компании Palo Alto Networks, уязвимость можно использовать, поместив вредоносный образ в реестр. Попытка извлечь образ из реестра ничего не подозревающим пользователем приведет к состоянию «отказа в обслуживании».
«С помощью данной уязвимости злоумышленники могут поставить под угрозу любую контейнерную инфраструктуру, которая полагается на уязвимые движки контейнеров, включая Kubernetes и OpenShift», — сообщил Сассон.
CRI-O и Podman — образы контейнеров, похожие на Docker, которые используются для выполнения действий и управления контейнерами в облаке. Библиотека containers/storage используется движками CRI-O и Podman для управления процессами хранения и загрузки образов контейнеров.
В ходе эксплуатации уязвимости CRI-O не может извлекать новые образы, запускать новые контейнеры (даже если они уже извлечены), получать списки локальных образов или уничтожать контейнеры. В аналогичном случае Podman не может извлекать новые образы, извлекать запущенные модули, запускать новые контейнеры (даже если они уже извлечены), выполнять их в контейнерах, извлекать существующие образы или уничтожать существующие контейнеры.
«Злоумышленник может загрузить в реестр вредоносный уровень, который нацелен на использование уязвимости, а затем загрузить образ, использующий множество уровней, включая вредоносный. Затем, когда жертва начнет извлекать образ из реестра, она загрузит и вредоносный уровень в рамках данного процесса, вызывая уязвимость», — пояснил Сассон.
Как только контейнерный движок начинает загрузку вредоносного уровня, конечным результатом является сбой в процессе.
Уязвимость была исправлена в версии контейнера 1.28.1, версии CRI-O 1.20.2 и версии Podman 3.1.0.
Источники[править]
Эта статья содержит материалы из статьи «Уязвимость в библиотеке Go позволяет проводить DoS-атаки на контейнерные движки CRI-O и Podman», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.