Kubernetes 的CRI-O容器引擎中存在严重漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
CrowdStrike 公司发布报告称,Kubernetes 的 CRI-O引擎受一个严重漏洞影响。该漏洞编号为CVE-2022-0811,CVSS评分为8.8,可被用于逃逸容器并获得主机root权限。
CRI-O 是一款适用于 Kubernetes 的轻量级容器运行时,支持与OCI(开源容器计划)兼容的运行时。
CVE-2022-0811漏洞产生的原因在于缺乏对传递给 pins 工具的内核参数的正确验证。该漏洞在 CRI-O 1.19版本中引入,该版本增加了 sysctl 支持。
该漏洞被称为 “cr8escape”,可被攻击者用于“逃逸 Kubernetes 容器并获得主机 root 权限并在集群任意地方移动。”
利用该漏洞要求能够将pod部署到使用CRI-O运行时的 Kubernetes 集群。
除了执行恶意软件外,该漏洞还可导致攻击者在主机上执行其它操作,如数据渗透和在pod间横向移动。
CrowdStrike 公司已发布针对该漏洞的PoC,它指出由于很多平台默认使用 CRI-O,因此该漏洞可能会遭大规模传播,因此建议用户立即升级 CRI-O免遭攻击。
该漏洞已在 CRI-O 版本 1.22.3、1.21.6、1.20.7和1.19.6中修复。
CRI-O 团队指出,“该版本中包含对严重漏洞CVE-2022-0811的修复方案。建议用户升级至该版本,以免遭攻击。”
缓解措施包括拦截包含 sysctl 设置的pod,这些设置的值中包含 “+”或 “=”;拦截所有 sysctls;应用pinns封装器去掉 “-s” 选项,从而阻止pod 修改内核参数。尽管不推荐这样做,但实际上也可降级至CRI-O 版本1.18或更早版本,应该也可阻止遭利用。
代码卫士试用地址:https://codesafe.qianxin.com/
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
漏洞Dirty COW:影响Linux系统以及安卓设备
第三方支付处理厂商软件有漏洞,日本美容零售商Acro 10万支付卡信息遭攻击
Linux 内核 cgroups 新漏洞可导致攻击者逃逸容器
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍
Apache Cassandra 开源数据库软件修复高危RCE漏洞
2021年软件供应链攻击数量激增300%+
热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管
详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
SAP 严重漏洞可导致供应链攻击
Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持
Apache 软件基金会:顶级项目仍使用老旧软件,补丁作用被削弱
美国商务部发布软件物料清单 (SBOM) 的最小元素(上)
美国商务部发布软件物料清单 (SBOM) 的最小元素(中)
美国商务部发布软件物料清单 (SBOM) 的最小元素(下)
NIST 发布关于使用“行政令-关键软件”的安全措施指南
NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件
SolarWinds 攻击者再次发动供应链攻击
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
软件供应链安全现状分析与对策建议
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
原文链接
https://www.securityweek.com/severe-vulnerability-patched-cri-o-container-engine-kubernetes
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Kubernetes 的CRI-O容器引擎中存在严重漏洞相关推荐
- 一文告诉你,如何在 Kubernetes 的容器引擎中运行 KVM 和 VMware VM!
作者 | Gilson Melo 译者 | 天道酬勤 责编 | 徐威龙 封图| CSDN下载于视觉中国 随着微服务的出现,人们通常会问:"是否有可能通过Kubernetes上的微服务在基于内 ...
- Intel 警告注意 CSME 引擎中的严重漏洞,发布产品停产通知
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Intel 警告称 CSME 安全引擎中存在一个严重漏洞,并督促用户尽快应用已发布的修复方案. Intel Converged Secu ...
- Kubernetes切换Docker容器引擎为Containerd
文章目录 前言 一.准备一套使用Docker引擎的kubernetes集群 二.配置先决条件 1.启用Containerd依赖的overlay.br_netfilter内核模块 2.设置必要的sysc ...
- 华为云PaaS平台微服务治理5云容器引擎CCE
5云容器引擎CCE 5.1CCE介绍 云容器引擎CCE(Cloud Container Engine)提供高可靠高性能的企业级容器应用管理服务,支持Kubernetes社区原生应用和工具,简化云上自动 ...
- Mesos容器引擎的架构设计和实现解析
引言:提到容器,大家第一时间都会想到Docker,毕竟Docker是目前最为流行的容器开源项目,它实现了一个容器引擎(Docker engine),并且为容器的创建和管理.容器镜像的生成.分发和下载提 ...
- 浅谈surging服务引擎中的rabbitmq组件和容器化部署
1.前言 上个星期完成了surging 的0.9.0.1 更新工作,此版本通过nuget下载引擎组件,下载后,无需通过代码build集成,引擎会通过Sidecar模式自动扫描装配异构组件来构建服务引擎 ...
- 容器编排技术 -- Kubernetes 重新配置活动集群中节点的 Kubelet
容器编排技术 -- Kubernetes 重新配置活动集群中节点的 Kubelet 1 Before you begin 2 重新配置集群活动节点上的 Kubelet 2.1 基本工作流程概览 2.2 ...
- Kubernetes(K8s)容器设计模式实践案例 – 分散收集模式
<Kubernetes与云原生应用>专栏是InfoQ向轻元科技首席架构师王昕约稿的系列 文章.本专栏包含8篇内容,将会从介绍和分析Kubernetes系统以及云原生应用 入手,逐步推出基于 ...
- 技术选型之Docker容器引擎
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | huashiou 来源 | https://s ...
最新文章
- visual studio code 修改工具栏风格
- 统计信号处理_声学前端:深度学习算法和传统信号处理方法各有千秋
- 序列化和反序列化的概述
- 向上弹出菜单jQuery插件
- linux rsync 带密码,Linux配置ssh无密码验证,rsync
- android歌词效果,自定义View:Android歌词控件
- 查看mysql日志post_(转)MySQL 日志组提交
- [深度学习-实践]GAN入门例子-利用Tensorflow Keras与数据集CIFAR10生成新图片
- 解决Sql中DIstinct与Order By共同使用的冲突问题
- 使用javascript 实现.net 验证控件功能
- 向爸爸借了500,向妈妈借了500,买了双皮鞋用了970。剩下30元,还爸爸10块,还妈妈10块,自己剩下了10块,欠爸爸490,欠妈妈490,490+490=980。加上自己的10块=990。还有1
- linux 查看 java opts,linux查看java opts
- 随身Win8系统DIY
- 苹果邮箱登录入口_电子邮箱的申请及使用说明
- Esp8266闪存文件系统LIttleFS
- Unity3d之坦克对战游戏 AI设计
- 将数组升序排列后,插入一个数,仍然保持升序排列。
- python tkinter画福字
- 游戏大额数值转换“K“, “M“, “B“, “T“, “aa“, “ab“, “ac“, “ad“
- Writeup For WeChall