Vulnerabilità: CVE-2020-15257

containerd è un contenitore di runtime standard di settore ed è disponibile come un demone per Linux e Windows. In containerd prima le versioni 1.3.9 e 1.4.3, l’API containerd-shim è impropriamente esposto ai contenitori di rete ospite. I controlli di accesso per lo spessore & # 8217; s presa API verificato che il processo di collegamento ha avuto un UID effettivo di 0, ma non altrimenti limitare l’accesso alla presa dominio astratto Unix. Ciò consentirebbe contenitori dannosi in esecuzione nello stesso spazio dei nomi di rete, come lo spessore, con un UID effettivo di 0, ma privilegi ridotta, ai causare nuovi processi per essere eseguito con privilegi elevati. Questa vulnerabilità è stato risolto in containerd 1.3.9 e 1.4.3. Gli utenti dovrebbero aggiornare a queste versioni non appena vengono rilasciati. Va notato che i contenitori iniziate con una vecchia versione di containerd-shim deve essere interrotto e riavviato, come l’esecuzione di contenitori continuerà ad essere vulnerabili anche dopo un aggiornamento. Se non si sta fornendo la possibilità per gli utenti non attendibili per iniziare contenitori nello stesso spazio dei nomi di rete come lo spessore (in genere il ""padrone di casa"" dello spazio dei nomi di rete, ad esempio con la corsa finestra mobile –net = host o hostNetwork: vero in un baccello kubernetes) e eseguito con un UID effettivo di 0, che non sono vulnerabili a questo problema. Se si esegue contenitori con una configurazione vulnerabile, è possibile negare l’accesso a tutte le prese astratti con AppArmor con l’aggiunta di una linea simile a negare unix addr = @ **, per la vostra politica. È buona norma eseguire contenitori con un insieme ridotto di privilegi, con un non-zero UID, e con i namespace isolato. I manutentori containerd consigliano fortemente contro la condivisione di spazi dei nomi con l’host. Riducendo l’insieme di meccanismi di isolamento utilizzati per un contenitore aumenta necessariamente privilegio di contenitore, indipendentemente dal runtime contenitore viene utilizzato per l’esecuzione tale contenitore.


https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4
https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LNKXLOLZWO5FMAPX63ZL7JNKTNNT5NQD/
https://github.com/containerd/containerd/commit/4a4bb851f5da563ff6e68a83dc837c7699c469ad
https://github.com/containerd/containerd/commit/4a4bb851f5da563ff6e68a83dc837c7699c469ad
https://github.com/containerd/containerd/releases/tag/v1.4.3
https://github.com/containerd/containerd/releases/tag/v1.4.3
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15257


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi