ГлавнаяБаза уязвимостей БДУ → BDU:2023-03675
4средняя

BDU:2023-03675 (CVE-2023-0778)

Уязвимость приложения для упрощения и стандартизации распространения содержимого контейнеров Open Container Initiative Distribution Specification (OCI Distribution Specification), связанная с ошибкой смешения типов, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
Опубликовано: 2023-07-13
Описание

Уязвимость приложения для упрощения и стандартизации распространения содержимого контейнеров Open Container Initiative Distribution Specification (OCI Distribution Specification) связана с ошибкой смешения типов при обработке заголовка Content-Type, содержащего поля «manifests» и «layers» или «manifests» и «config» в процессе выполнения операций push и pull. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Fedora (34)Fedora (35)РЕД ОС (7.3)Альт 8 СПRed Hat OpenShift Container Platform (4)Red Hat Enterprise Linux (9)Red Hat OpenShift Container Platform (4.10)Red Hat Advanced Cluster Security (RHACS) for Kubernetes (3.70)Red Hat Advanced Cluster Management for Kubernetes (2.5)IBM CICS TX Advanced (11.1)Red Hat Migration Toolkit for Containers (1.7)Podman (до 3.4.3)Open Container Initiative Distribution Specification (до 1.0.0 включительно)OCI Image Format Specification (до 1.0.1 включительно)Containerd (до 1.4.12)Containerd (от 1.5.0 до 1.5.8)Moby (до 20.10.11)Red Hat OpenShift Container Platform (4.11)
Способ устранения

Использование рекомендаций:
Для Open Container Initiative Distribution Specification:
https://github.com/opencontainers/distribution-spec/commit/ac28cac0557bcd3084714ab09f9f2356fe504923
https://github.com/opencontainers/distribution-spec/releases/tag/v1.0.1

Для OCI Image Format Specification:
https://github.com/opencontainers/image-spec/releases/tag/v1.0.2
https://github.com/opencontainers/image-spec/security/advisories/GHSA-77vh-xpmg-72qh

Для Podman:
https://github.com/containers/podman/releases/tag/v3.4.3

Для Containerd:
https://github.com/containerd/containerd/releases/tag/v1.4.12
https://github.com/containerd/containerd/releases/tag/v1.5.8

Для Moby:
https://github.com/moby/moby/releases/tag/v20.10.11

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-41190

Для Fedora:
ttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3TUZNDAH2B26VPBK342UC3BHZNLBUXGX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4334HT7AZPLWNYHW4ARU6JBUF3VZJPZN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A2RRFNTMFYKOTRKD37F5ANMCIO3GGJML/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DX63GRWFEI5RVMYV6XLMCG4OHPWZML27/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RZTO6N55WHKHIZI4IMLY2QFBPMVTAERM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SQBCYJUIM5GVCMFUPRWKRZNXMMI5EFA4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T4OJ764CKKCWCVONHD4YXTGR7HZ7LRUV/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YIGVQWOA5XXCQXEOOKZX4CDAGLBDRPRX/

Для IBM CICS TX Advanced:
https://www.ibm.com/support/pages/security-bulletin-ibm-cics-tx-advanced-vulnerable-open-container-initiative-distribution-specification-vulnerability-cve-2021-41190

Компенсирующие меры:
При извлечении данных из реестра рекомендуется проверять данные с заголовком Content-Type, содержащие поля «manifests» и «layers» или «manifests» и «config» и отклонять такие документы.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-podman-cve-2023-0778-cve-2022-27649-cve-2021-41190-cve-2021-4024-cve-2022/https://www.ibm.com/support/pages/security-bulletin-ibm-cics-tx-advanced-vulnerable-open-container-initiative-distribution-specification-vulnerability-cve-2021-41190https://access.redhat.com/security/cve/cve-2021-41190ttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3TUZNDAH2B26VPBK342UC3BHZNLBUXGX/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4334HT7AZPLWNYHW4ARU6JBUF3VZJPZN/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A2RRFNTMFYKOTRKD37F5ANMCIO3GGJML/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DX63GRWFEI5RVMYV6XLMCG4OHPWZML27/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RZTO6N55WHKHIZI4IMLY2QFBPMVTAERM/
Проверьте безопасность своего сайта и почты → Полная проверка домена