Amazon Linux 2：containerd (ALASDOCKER-2023-023)

high Nessus Plugin ID 173939

語系：

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 containerd 版本為早於 1.6.19-1 的版本。因此，它受到 ALAS2DOCKER-2023-023 公告中所提及的多個弱點影響。

- containerd 是一種開放原始碼的容器執行階段。在 containerd 的 CRI 實作中發現一個錯誤，其中使用者可耗盡主機上的記憶體。在 CRI 串流伺服器中，如果要求 TTY，則會啟動一個 goroutine 來處理終端機調整大小事件。如果使用者的處理程序因為命令錯誤等原因而無法啟動，則 goroutine 將在沒有接收器的情況下等待傳送，進而導致記憶體洩漏。
Kubernetes 和 crictl 都可以設定為使用 containerd 的 CRI 實作，串流伺服器用於處理容器 IO。此錯誤已在 containerd 1.6.12 和 1.5.16 中修正。使用者應更新至這些版本以解決此問題。無法升級的使用者應確保僅使用受信任的影像和命令，且只有受信任的使用者才有權在執行中的容器中執行命令。 (CVE-2022-23471)

- containerd 是一種開放原始碼的容器執行階段。在 1.6.18 之前版本和 1.5.18 之前版本中，匯入 OCI 鏡像時，對於特定檔案的讀取位元組數沒有任何限制。在未套用限制的情況下，包含大型檔案的惡意特製鏡像可造成程式拒絕服務。此錯誤已在 containerd 1.6.18 和 1.5.18 中修正。使用者應更新至這些版本以解決此問題。因應措施是確保只使用受信任的鏡像，而且只有受信任的使用者才有權匯入鏡像。
(CVE-2023-25153)

- containerd 是一種開放原始碼的容器執行階段。在 containerd 1.6.18 之前版本和 1.5.18 之前版本中發現一個錯誤，容器內未正確設定附加群組。如果攻擊者擁有容器的直接存取權並操控其附加群組存取權，則在某些情況下，他們可能能夠使用附加群組存取權繞過主要群組限制，進而可能獲得敏感資訊的存取權，或能夠在此容器中執行程式碼。使用 containerd 用戶端程式庫的下游應用程式也可能受到影響。此錯誤已在 containerd v1.6.18 和 v.1.5.18 中修正。使用者應更新至這些版本，並且重新建立容易以解決此問題。
使用者若依賴使用 containerd 用戶端程式庫的下游應用程式，應檢查此應用程式是否有單獨的公告和指示。因應措施是確保不使用 `USER $USERNAME` Dockerfile 指令，而是將容器入口點設定為類似 `ENTRYPOINT [su, -, user]` 的值，以允許 `su` 正確設定附加群組。(CVE-2023-25173)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。