ГлавнаяБаза уязвимостей БДУ → BDU:2022-00757
4.6средняя

BDU:2022-00757 (CVE-2021-41103)

Уязвимость среды выполнения контейнеров Containerd, связанная с недостатками разграничения доступа к корневым каталогам и плагинам, позволяющая нарушителю получить доступ на чтение и изменение файлов
Опубликовано: 2022-02-16
Описание

Уязвимость среды выполнения контейнеров Containerd связана с недостатками разграничения доступа к корневым каталогам и плагинам. Эксплуатация уязвимости может позволить нарушителю получить доступ на чтение и изменение файлов

Затрагиваемое ПО и версии
Fedora (34)Debian GNU/Linux (11)Fedora (35)РЕД ОС (7.3)Astra Linux Special Edition (1.7)VxRail (от 7.0.0 до 7.0.320)Containerd (до 1.4.11)Containerd (от 1.5.0 до 1.5.7)Альт 8 СПAstra Linux Special Edition (4.7)
Способ устранения

Использование рекомендаций:
Для Containerd:
https://github.com/containerd/containerd/commit/5b46e404f6b9f661a205e28d59c982d3634148f8
https://github.com/containerd/containerd/security/advisories/GHSA-c2h3-6mxw-7mvq
http://github.com/containerd/containerd/releases/tag/v1.5.7
http://github.com/containerd/containerd/releases/tag/v1.4.11

Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-ispolnyaemoy-sredy-dlya-zapuska-konteynerov-containerd-cve-2021-41103/

Для продуктов Dell:
https://www.dell.com/support/kbdoc/ru-ru/000195888/dsa-2022-022-dell-dell-emc-vxrail-security-update-for-multiple-third-party-component-vulnerabilities

Для Debian:
https://www.debian.org/security/2021/dsa-5002

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/B5Q6G6I4W5COQE25QMC7FJY3I3PAYFBB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZNFADTCHHYWVM6W4NJ6CB4FNFM2VMBIB/

Для ОС Альт 8 СП:
Обновление программного обеспечения до актуальной версии

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Оценка CVSS
Балл4.6 — средняя опасность
Источники и патчи
http://github.com/containerd/containerd/releases/tag/v1.4.11http://github.com/containerd/containerd/releases/tag/v1.5.7https://altsp.su/obnovleniya-bezopasnosti/https://github.com/containerd/containerd/commit/5b46e404f6b9f661a205e28d59c982d3634148f8https://github.com/containerd/containerd/security/advisories/GHSA-c2h3-6mxw-7mvqhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/B5Q6G6I4W5COQE25QMC7FJY3I3PAYFBB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZNFADTCHHYWVM6W4NJ6CB4FNFM2VMBIB/https://nvd.nist.gov/vuln/detail/CVE-2021-41103
Проверьте безопасность своего сайта и почты → Полная проверка домена