Vulnerabilidades CVE de Containerd de Containerd
containerd es un tiempo de ejecución de contenedor de código abierto.
16 de febrero del 2023
- CVE-2023-25173 : Se encontró un error en containerd anterior a las versiones 1.6.18 y 1.5.18 donde los grupos complementarios no se configuran correctamente dentro de un contenedor.
- Si un atacante tiene acceso directo a un contenedor y manipula su acceso de grupo complementario, es posible que pueda usar el acceso de grupo complementario para eludir las restricciones del grupo principal en algunos casos, lo que podría obtener acceso a información confidencial o obtener la capacidad de ejecutar código en ese contenedor.
- Las aplicaciones posteriores que utilizan la biblioteca de cliente containerd también pueden verse afectadas. Este error se ha corregido en containerd v1.6.18 y v.1.5.18. Los usuarios deben actualizar a estas versiones y volver a crear contenedores para resolver este problema. Usuarios que confían en una aplicación descendente que usa containerd' La biblioteca del cliente de s debe verificar esa aplicación para obtener un aviso e instrucciones por separado. Como solución alternativa, asegúrese de que no se utilice la instrucción `"USER $USERNAME"` Dockerfile. En su lugar, establezca el punto de entrada del contenedor en un valor similar a `ENTRYPOINT ["su", "-", "user"]` para permitir que `su` configure correctamente grupos complementarios.
- CVE-2023-25153 : Antes de las versiones 1.6.18 y 1.5.18, al importar una imagen OCI, no había límite en la cantidad de bytes leídos para ciertos archivos. Una imagen creada con fines malintencionados con un archivo de gran tamaño en el que no se aplicó un límite podría provocar una denegación de servicio. Este error se ha corregido en containerd 1.6.18 y 1.5.18. Los usuarios deben actualizar a estas versiones para resolver el problema. Como solución alternativa, asegúrese de que solo se utilicen imágenes de confianza y que solo los usuarios de confianza tengan permisos para importar imágenes.
Sitios de referencia
- CVE-2023-25173
https://github.com/advisories/GHSA-phjr-8j92-w5v7
Otras paginas de vulnerabilidades CVE
- Niterforum
- wndr3700v2
- Virtualsquare Picotcp
- Baijiacms
- Nitinparashar30 cms corephp
- Seo Panel
- Dataease
- Ampere altramax y ampere altra
- Gmalloc
- RSA ClientKeyExchange
- XBC DN32U
- Jenkins junit plugin
- Jenkins email extension plugin
- Jenkins azure credentials plugin
- Phpcrazy
- Kiwi
- Ami Megarac SPX
- Starlite
- Microsoft exchange server 2019 cumulative update 12
- Microsoft exchange server 2016 cumulative update 23
- Microsoft sharepoint enterprise server 2016
- Microsoft SQL Server
- Microsoft Onenote
- Microsoft net framework 4.8
- Azure Stack
- Suse linux enterprise server 12
- Apache Shenyu
- Qaelum Dose
- NSRW
- PHP
- Server application monitor sam
- Priority for windows
- Priority web
- Libpeconv
- DVR
- Media control panel
- Solarwinds platform
- Synopsys jenkins coverity plugin
- Prosafe 24 port 10100 fs726tp
- Butterfly button plugin
- Asus ec tool
- Discuzx
- Screencheck badgemaker
- Kardex mlog mcc
- kevinpapst kimai2
- Kliqqi cms
- Uqcms
- Rttys
- Ehoney
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-19. Fecha publicación el 2023-02-19. Autor: Oscar olg Mapa del sitio Fuente: cve report