ГлавнаяБаза уязвимостей БДУ → BDU:2022-01715
7.8высокая

BDU:2022-01715 (CVE-2022-23648)

Уязвимость среды выполнения контейнеров Containerd, связанная с недостатками процедуры аутентификации, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2022-04-04
Описание

Уязвимость среды выполнения контейнеров Containerd связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (12 SP5)openSUSE TumbleweedUbuntu (20.04 LTS)Fedora (34)OpenSUSE Leap (15.3)Debian GNU/Linux (11)Fedora (35)Ubuntu (21.10)Suse Linux Enterprise Server (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Micro (5.0)SUSE Linux Enterprise Micro (5.1)Альт 8 СПContainerd (до 1.4.13)Containerd (от 1.5.0 до 1.5.10)Containerd (от 1.6.0 до 1.6.1)Fedora (36)Astra Linux Special Edition (4.7)
Способ устранения

Использование рекомендаций:

Для Containerd:
https://github.com/containerd/containerd/commit/10f428dac7cec44c864e1b830a4623af27a9fc70
https://github.com/containerd/containerd/releases/tag/v1.4.13
https://github.com/containerd/containerd/releases/tag/v1.5.10
https://github.com/containerd/containerd/releases/tag/v1.6.1
https://github.com/containerd/containerd/security/advisories/GHSA-crp2-qrr5-8pq7

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AUDQUQBZJGBWJPMRVB6QCCCRF7O3O4PA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HFTS2EF3S7HNYSNZSEJZIJHPRU7OPUV3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OCCARJ6FU4MWBTXHZNMS7NELPDBIX2VO/

Для Debian GNU/Linux:
https://www.debian.org/security/2022/dsa-5091
https://security-tracker.debian.org/tracker/CVE-2022-23648

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-23648
https://ubuntu.com/security/notices/USN-5311-1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23648.html

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/containerd/containerd/commit/10f428dac7cec44c864e1b830a4623af27a9fc70https://github.com/containerd/containerd/releases/tag/v1.4.13https://github.com/containerd/containerd/releases/tag/v1.5.10https://github.com/containerd/containerd/releases/tag/v1.6.1https://github.com/containerd/containerd/security/advisories/GHSA-crp2-qrr5-8pq7https://packetstormsecurity.com/files/166421/containerd-Image-Volume-Insecure-Handling.htmlhttps://www.debian.org/security/2022/dsa-5091https://security-tracker.debian.org/tracker/CVE-2022-23648
Проверьте безопасность своего сайта и почты → Полная проверка домена