Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-01488: Уязвимость среды выполнения контейнеров Containerd, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код

Описание уязвимости	Уязвимость среды выполнения контейнеров Containerd связана с недостатком, из-за которого дополнительные группы не настроены должным образом внутри контейнера. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код
Вендор	Сообщество свободного программного обеспечения, ООО «Ред Софт», Fedora Project, Cloud Native Computing Foundation
Наименование ПО	Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Fedora, Containerd
Версия ПО	11.0 (Debian GNU/Linux) 7.3 (РЕД ОС) 36 (Fedora) 37 (Fedora) 38 (Fedora) до 1.5.18 (Containerd) от 1.6.0 до 1.6.18 (Containerd) 39 (Fedora)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Fedora Project Fedora 36 Fedora Project Fedora 37 Fedora Project Fedora 38 Fedora Project Fedora 39
Тип ошибки	Небезопасное управление привилегиями, Неправильная авторизация
Идентификатор типа ошибки	CWE-269 CWE-863
Класс уязвимости	Уязвимость архитектуры
Дата выявления	16.02.2023
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Containerd: https://github.com/containerd/containerd/releases/tag/v1.5.18 https://github.com/containerd/containerd/releases/tag/v1.6.18 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2023-aadd08ab96 https://bodhi.fedoraproject.org/updates/FEDORA-2023-05b39bc048 https://bodhi.fedoraproject.org/updates/FEDORA-2023-cd000ea847 https://bodhi.fedoraproject.org/updates/FEDORA-2023-e06549e65c Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-25173
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/containerd/containerd/commit/133f6bb6cd827ce35a5fb279c1ead12b9d21460a https://github.com/containerd/containerd/releases/tag/v1.5.18 https://github.com/containerd/containerd/releases/tag/v1.6.18 https://github.com/containerd/containerd/security/advisories/GHSA-hmfx-3pcx-653p https://www.cybersecurity-help.cz/vdb/SB2023021620 https://bodhi.fedoraproject.org/updates/FEDORA-2023-aadd08ab96 https://bodhi.fedoraproject.org/updates/FEDORA-2023-05b39bc048 https://bodhi.fedoraproject.org/updates/FEDORA-2023-cd000ea847 https://bodhi.fedoraproject.org/updates/FEDORA-2023-e06549e65c https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-containerd-cve-2023-25153-cve-2023-25173/?sphrase_id=145370 https://security-tracker.debian.org/tracker/CVE-2023-25173
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-25173
Прочая информация	Данные уточняются

Последние изменения