Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03768

Опубликовано: 07 июн. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость программы мониторинга связи между менеджером контейнеров и средой выполнения conmon связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированного запроса ExecSync

Вендор

Red Hat Inc.
ООО «Ред Софт»
ФССП России
Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux
РЕД ОС
ОС ТД АИС ФССП России
Red Hat OpenShift Container Platform
conmon
CRI-O

Версия ПО

7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
ИК6 (ОС ТД АИС ФССП России)
3.11 (Red Hat OpenShift Container Platform)
до 2.1.2 (conmon)
до 1.24.1 (CRI-O)
до 1.23.3 (CRI-O)
до 1.22.5 (CRI-O)
до 1.21.8 (CRI-O)
до 1.20.8 (CRI-O)
до 1.19.7 (CRI-O)
4.10 (Red Hat OpenShift Container Platform)
4.6 (Red Hat OpenShift Container Platform)
4.7 (Red Hat OpenShift Container Platform)
4.8 (Red Hat OpenShift Container Platform)
4.9 (Red Hat OpenShift Container Platform)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
ФССП России ОС ТД АИС ФССП России ИК6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для conmon:
https://redos.red-soft.ru/support/secure/uyazvimosti/otkaz-v-obsluzhivanii-v-conmon-cve-2022-1708/?sphrase_id=35867
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://github.com/containers/conmon/releases
Для CRI-O:
https://github.com/cri-o/cri-o/security/advisories/GHSA-fcm2-6c3h-pg6j
https://bugzilla.redhat.com/show_bug.cgi?id=2085361
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/otkaz-v-obsluzhivanii-v-conmon-cve-2022-1708/?sphrase_id=35867
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-1708
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 55%
0.00326
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-1708

CVSS3: 7.5
ubuntu
около 3 лет назад

A vulnerability was found in CRI-O that causes memory or disk space exhaustion on the node for anyone with access to the Kube API. The ExecSync request runs commands in a container and logs the output of the command. This output is then read by CRI-O after command execution, and it is read in a manner where the entire file corresponding to the output of the command is read in. Thus, if the output of the command is large it is possible to exhaust the memory or the disk space of the node when CRI-O reads the output of the command. The highest threat from this vulnerability is system availability.

redhat логотип

CVE-2022-1708

CVSS3: 6.8
redhat
около 3 лет назад

A vulnerability was found in CRI-O that causes memory or disk space exhaustion on the node for anyone with access to the Kube API. The ExecSync request runs commands in a container and logs the output of the command. This output is then read by CRI-O after command execution, and it is read in a manner where the entire file corresponding to the output of the command is read in. Thus, if the output of the command is large it is possible to exhaust the memory or the disk space of the node when CRI-O reads the output of the command. The highest threat from this vulnerability is system availability.

nvd логотип

CVE-2022-1708

CVSS3: 7.5
nvd
около 3 лет назад

A vulnerability was found in CRI-O that causes memory or disk space exhaustion on the node for anyone with access to the Kube API. The ExecSync request runs commands in a container and logs the output of the command. This output is then read by CRI-O after command execution, and it is read in a manner where the entire file corresponding to the output of the command is read in. Thus, if the output of the command is large it is possible to exhaust the memory or the disk space of the node when CRI-O reads the output of the command. The highest threat from this vulnerability is system availability.

msrc логотип

CVE-2022-1708

CVSS3: 7.5
msrc
около 1 года назад

Описание отсутствует

debian логотип

CVE-2022-1708

CVSS3: 7.5
debian
около 3 лет назад

A vulnerability was found in CRI-O that causes memory or disk space ex ...

EPSS

Процентиль: 55%
0.00326
Низкий

7.5 High

CVSS3

7.8 High

CVSS2