Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-01489: Уязвимость среды выполнения контейнеров Containerd, связанная с отсутствием ограничения на количество байтов, считываемых для определенных файлов, при импорте образов OCI, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость среды выполнения контейнеров Containerd связана с отсутствием ограничения на количество байтов, считываемых для определенных файлов, при импорте образов OCI. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
Вендор	Сообщество свободного программного обеспечения, ООО «Ред Софт», Fedora Project, Cloud Native Computing Foundation
Наименование ПО	Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Fedora, Containerd
Версия ПО	11.0 (Debian GNU/Linux) 7.3 (РЕД ОС) 36 (Fedora) 37 (Fedora) 38 (Fedora) до 1.5.18 (Containerd) от 1.6.0 до 1.6.18 (Containerd) 39 (Fedora)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Fedora Project Fedora 36 Fedora Project Fedora 37 Fedora Project Fedora 38 Fedora Project Fedora 39
Тип ошибки	Неконтролируемый расход ресурса («Истощение ресурса»), Неограниченное распределение ресурсов или дросселирование
Идентификатор типа ошибки	CWE-400 CWE-770
Класс уязвимости	Уязвимость кода
Дата выявления	16.02.2023
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Containerd: https://github.com/containerd/containerd/releases/tag/v1.5.18 https://github.com/containerd/containerd/releases/tag/v1.6.18 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2023-aadd08ab96 https://bodhi.fedoraproject.org/updates/FEDORA-2023-05b39bc048 https://bodhi.fedoraproject.org/updates/FEDORA-2023-cd000ea847 https://bodhi.fedoraproject.org/updates/FEDORA-2023-e06549e65c Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-25153
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами Исчерпание ресурсов
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	ttps://github.com/containerd/containerd/commit/0c314901076a74a7b797a545d2f462285fdbb8c4 https://github.com/containerd/containerd/releases/tag/v1.5.18 https://github.com/containerd/containerd/releases/tag/v1.6.18 https://github.com/containerd/containerd/security/advisories/GHSA-259w-8hf6-59c2 https://www.cybersecurity-help.cz/vdb/SB2023021620 https://bodhi.fedoraproject.org/updates/FEDORA-2023-aadd08ab96 https://bodhi.fedoraproject.org/updates/FEDORA-2023-05b39bc048 https://bodhi.fedoraproject.org/updates/FEDORA-2023-cd000ea847 https://bodhi.fedoraproject.org/updates/FEDORA-2023-e06549e65c https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-containerd-cve-2023-25153-cve-2023-25173/?sphrase_id=145370 https://security-tracker.debian.org/tracker/CVE-2023-25153
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-25153
Прочая информация	Данные уточняются

Последние изменения