Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-07471

Опубликовано: 07 дек. 2022
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость среды выполнения контейнеров containerd связана с ошибкой на сервере потоков CRI containerd при обработке событий изменения размера терминала. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «отказ в обслуживании» (DoS)

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Cloud Native Computing Foundation

Наименование ПО

Ubuntu
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Containerd

Версия ПО

18.04 LTS (Ubuntu)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
22.04 LTS (Ubuntu)
4.7 (Astra Linux Special Edition)
22.10 (Ubuntu)
до 1.5.16 (Containerd)
от 1.6.0 до 1.6.12 (Containerd)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Canonical Ltd. Ubuntu 22.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 22.10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для containerd:
https://github.com/containerd/containerd/commit/a05d175400b1145e5e6a735a6710579d181e7fb0
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-23471
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5776-1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux Special Edition 1.7:
обновить пакет containerd до 1.7.2+astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux Special Edition 4.7:
обновить пакет containerd до 1.7.2+ci3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 44%
0.00215
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-23471

CVSS3: 5.7
ubuntu
больше 2 лет назад

containerd is an open source container runtime. A bug was found in containerd's CRI implementation where a user can exhaust memory on the host. In the CRI stream server, a goroutine is launched to handle terminal resize events if a TTY is requested. If the user's process fails to launch due to, for example, a faulty command, the goroutine will be stuck waiting to send without a receiver, resulting in a memory leak. Kubernetes and crictl can both be configured to use containerd's CRI implementation and the stream server is used for handling container IO. This bug has been fixed in containerd 1.6.12 and 1.5.16. Users should update to these versions to resolve the issue. Users unable to upgrade should ensure that only trusted images and commands are used and that only trusted users have permissions to execute commands in running containers.

nvd логотип

CVE-2022-23471

CVSS3: 5.7
nvd
больше 2 лет назад

containerd is an open source container runtime. A bug was found in containerd's CRI implementation where a user can exhaust memory on the host. In the CRI stream server, a goroutine is launched to handle terminal resize events if a TTY is requested. If the user's process fails to launch due to, for example, a faulty command, the goroutine will be stuck waiting to send without a receiver, resulting in a memory leak. Kubernetes and crictl can both be configured to use containerd's CRI implementation and the stream server is used for handling container IO. This bug has been fixed in containerd 1.6.12 and 1.5.16. Users should update to these versions to resolve the issue. Users unable to upgrade should ensure that only trusted images and commands are used and that only trusted users have permissions to execute commands in running containers.

msrc логотип

CVE-2022-23471

CVSS3: 6.5
msrc
больше 2 лет назад

Описание отсутствует

debian логотип

CVE-2022-23471

CVSS3: 5.7
debian
больше 2 лет назад

containerd is an open source container runtime. A bug was found in con ...

suse-cvrf логотип

SUSE-SU-2023:1628-1

suse-cvrf
больше 2 лет назад

Security update for containerd

EPSS

Процентиль: 44%
0.00215
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2