Vulnerabilidad: CVE-2020-15157

En containerd (un tiempo de ejecución de contenedor estándar de la industria) antes de la versión 1.2.14 existe una vulnerabilidad fugas de credenciales. Si un manifiesto imagen Envase en el formato de la imagen OCI o acoplable Imagen V2 esquema formato 2 incluye una dirección URL para la ubicación de una capa de imagen específica (también conocido como & # 8220; la capa exterior & # 8221;), el sistema de resolución containerd por defecto seguirá esa URL para tratar de descargarlo. En v1.2.x pero no 1.3.0 o posterior, la resolución por defecto containerd proporcionará sus credenciales de autenticación si el servidor donde se encuentra la URL presenta un código de estado HTTP 401, junto con el registro específico de las cabeceras HTTP. Si un atacante publica una imagen pública con un manifiesto que dirige una de las capas que se obtienen de un servidor web que controlan y que engañar a un usuario o sistema en tirar de la imagen, que pueden obtener las credenciales utilizadas para tirar de esa imagen. En algunos casos, esto puede ser el nombre de usuario y la contraseña para el registro. En otros casos, esto puede ser las credenciales asociado a la instancia virtual de nube que puede conceder acceso a otros recursos de la nube en la cuenta. El sistema de resolución containerd por defecto es utilizado por el plugin cri-containerd (que puede ser utilizado por Kubernetes), la herramienta de desarrollo ctr, y otros programas clientes que han vinculado explícitamente en contra de ella. Esta vulnerabilidad se ha corregido en containerd 1.2.14. containerd 1.3 y posteriores no se ven afectados. Si está utilizando containerd 1.3 o posterior, no se ven afectados. Si está utilizando cri-containerd en las series 1.2 o antes, usted debe asegurarse de que sólo se tira de imágenes a partir de fuentes de confianza. Otros tiempos de ejecución de contenedores construidos en la parte superior de containerd pero que no utilizan el sistema de resolución por defecto (como estibador) no se ven afectados.


https://github.com/containerd/containerd/security/advisories/GHSA-742w-89gc-8m9c
https://github.com/containerd/containerd/security/advisories/GHSA-742w-89gc-8m9c
https://github.com/containerd/containerd/releases/tag/v1.2.14
https://github.com/containerd/containerd/releases/tag/v1.2.14
https://usn.ubuntu.com/4589-1/
https://usn.ubuntu.com/4589-2/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15157


Es posible dejar un comentario como usuario registrado del sitio, accediendo a través de las redes sociales, la cuenta de wordpress o como usuarios anónimos. Si desea dejar un comentario como usuario anónimo, se le notificará por correo electrónico una posible respuesta sólo si introduce su dirección de correo electrónico (opcional). La inclusión de cualquier dato en los campos de comentario es totalmente opcional. Quien decida introducir algún dato acepta el tratamiento de los mismos para las finalidades inherentes al servicio o la respuesta a los comentarios y comunicaciones estrictamente necesarias.


Deja un comentario