Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03676

Опубликовано: 12 нояб. 2021
Источник: fstec
CVSS3: 6.5
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость инструмента управления виртуализацией podman-machine программного средства управления и запуска OCI-контейнеров Podman связана с недостаточной защитой служебных данных в результате перенаправления портов на хосте на порты в виртуальной машине при загрузке процесса сопоставления портов gvproxy. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем подключения к порту 7777

Вендор

Fedora Project
ООО «Ред Софт»
АО «ИВК»
Red Hat Inc.
Сообщество свободного программного обеспечения

Наименование ПО

Fedora
РЕД ОС
Альт 8 СП
Red Hat Enterprise Linux
Podman

Версия ПО

34 (Fedora)
35 (Fedora)
7.3 (РЕД ОС)
- (Альт 8 СП)
9 (Red Hat Enterprise Linux)
от 3.3.0 до 3.4.3 (Podman)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Fedora Project Fedora 34
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
Red Hat Inc. Red Hat Enterprise Linux 9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Podman:
https://github.com/containers/podman/releases/tag/v3.4.3
https://github.com/containers/podman/pull/12283
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-4024
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QFFVJ6S3ZRMPDYB7KYAWEMDHXFZYQPU3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IA7RFWWF2TAD6ABTSEOCANQQEGMSU4YP/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 28%
0.00095
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-4024

CVSS3: 6.5
ubuntu
больше 3 лет назад

A flaw was found in podman. The `podman machine` function (used to create and manage Podman virtual machine containing a Podman process) spawns a `gvproxy` process on the host system. The `gvproxy` API is accessible on port 7777 on all IP addresses on the host. If that port is open on the host's firewall, an attacker can potentially use the `gvproxy` API to forward ports on the host to ports in the VM, making private services on the VM accessible to the network. This issue could be also used to interrupt the host's services by forwarding all ports to the VM.

redhat логотип

CVE-2021-4024

CVSS3: 4.8
redhat
больше 3 лет назад

A flaw was found in podman. The `podman machine` function (used to create and manage Podman virtual machine containing a Podman process) spawns a `gvproxy` process on the host system. The `gvproxy` API is accessible on port 7777 on all IP addresses on the host. If that port is open on the host's firewall, an attacker can potentially use the `gvproxy` API to forward ports on the host to ports in the VM, making private services on the VM accessible to the network. This issue could be also used to interrupt the host's services by forwarding all ports to the VM.

nvd логотип

CVE-2021-4024

CVSS3: 6.5
nvd
больше 3 лет назад

A flaw was found in podman. The `podman machine` function (used to create and manage Podman virtual machine containing a Podman process) spawns a `gvproxy` process on the host system. The `gvproxy` API is accessible on port 7777 on all IP addresses on the host. If that port is open on the host's firewall, an attacker can potentially use the `gvproxy` API to forward ports on the host to ports in the VM, making private services on the VM accessible to the network. This issue could be also used to interrupt the host's services by forwarding all ports to the VM.

debian логотип

CVE-2021-4024

CVSS3: 6.5
debian
больше 3 лет назад

A flaw was found in podman. The `podman machine` function (used to cre ...

github логотип

GHSA-3cf2-x423-x582

CVSS3: 6.5
github
больше 3 лет назад

Exposure of Sensitive Information to an Unauthorized Actor and Origin Validation Error in podman

EPSS

Процентиль: 28%
0.00095
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2