Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-03670

Опубликовано: 19 мая 2021
Источник: fstec
CVSS3: 8.5
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость конфигурации инструмента для запуска изолированных контейнеров runc существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Red Hat Inc.
Novell Inc.
Fedora Project
Сообщество свободного программного обеспечения
АО «ИВК»
АО «НТЦ ИТ РОСА»
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Suse Linux Enterprise Server
OpenSUSE Leap
Fedora
runc
Альт 8 СП
РОСА Кобальт
ОСОН ОСнова Оnyx

Версия ПО

8.0 (Red Hat Enterprise Linux)
15-LTSS (Suse Linux Enterprise Server)
15.2 (OpenSUSE Leap)
33 (Fedora)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
34 (Fedora)
15.3 (OpenSUSE Leap)
до 1.0.0-rc95 (runc)
- (Альт 8 СП)
7.9 (РОСА Кобальт)
до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8.0
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Novell Inc. OpenSUSE Leap 15.2
Fedora Project Fedora 33
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Fedora Project Fedora 34
Novell Inc. OpenSUSE Leap 15.3
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,5)

Возможные меры по устранению уязвимости

Обновление инструмента для запуска изолированных контейнеров runc до актуальной версии
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-30465/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-30465
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/35ZW6NBZSBH5PWIT7JU4HXOXGFVDCOHH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4HOARVIT47RULTTFWAU7XBG4WY6TDDHV/
Для ОС Альт 8 СП: Обновление программного обеспечения до актуальной версии
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения runc до версии 1.0.0~rc6+dfsg1-3+deb10u2
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2393
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2393

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 84%
0.02358
Низкий

8.5 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-30465

CVSS3: 8.5
ubuntu
около 4 лет назад

runc before 1.0.0-rc95 allows a Container Filesystem Breakout via Directory Traversal. To exploit the vulnerability, an attacker must be able to create multiple containers with a fairly specific mount configuration. The problem occurs via a symlink-exchange attack that relies on a race condition.

redhat логотип

CVE-2021-30465

CVSS3: 7.5
redhat
около 4 лет назад

runc before 1.0.0-rc95 allows a Container Filesystem Breakout via Directory Traversal. To exploit the vulnerability, an attacker must be able to create multiple containers with a fairly specific mount configuration. The problem occurs via a symlink-exchange attack that relies on a race condition.

nvd логотип

CVE-2021-30465

CVSS3: 8.5
nvd
около 4 лет назад

runc before 1.0.0-rc95 allows a Container Filesystem Breakout via Directory Traversal. To exploit the vulnerability, an attacker must be able to create multiple containers with a fairly specific mount configuration. The problem occurs via a symlink-exchange attack that relies on a race condition.

debian логотип

CVE-2021-30465

CVSS3: 8.5
debian
около 4 лет назад

runc before 1.0.0-rc95 allows a Container Filesystem Breakout via Dire ...

suse-cvrf логотип

SUSE-SU-2021:1885-1

suse-cvrf
около 4 лет назад

Security update for runc

EPSS

Процентиль: 84%
0.02358
Низкий

8.5 High

CVSS3

8.5 High

CVSS2