ГлавнаяБаза уязвимостей БДУ → BDU:2023-03685
10критическая

BDU:2023-03685 (CVE-2023-0778)

Уязвимость реализации команды podman top программного средства управления и запуска OCI-контейнеров Podman операционных систем Red Hat Enterprise Linux, РедОС и корпоративной платформы Red Hat OpenShift Container Platform, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, повысить свои привилегии или вызвать отказ в обслуживании
Опубликовано: 2023-07-13
Описание

Уязвимость реализации команды podman top программного средства управления и запуска OCI-контейнеров Podman операционных систем Red Hat Enterprise Linux, РедОС и корпоративной платформы Red Hat OpenShift Container Platform связана с загрузкой вредоносного образа в общедоступный реестр в результате некорректного разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, повысить свои привилегии или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Red Hat Quay (3)Red Hat Enterprise Linux (8.2 Extended Update Support)Fedora (34)Fedora (35)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)Альт 8 СПRed Hat OpenShift Container Platform (4)Red Hat OpenShift Container Platform (4.6)Podman (до 4.0.0)psgo (до 1.7.2)
Способ устранения

Использование рекомендаций:
Для Podman:
https://github.com/containers/podman/releases/tag/v4.0.0

Для psgo:
https://github.com/containers/psgo/releases/tag/v1.7.2

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-1227

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DLUJZV3HBP56ADXU6QH2V7RNYUPMVBXQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J5WPM42UR6XIBQNQPNQHM32X7S4LJTRX/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-podman-cve-2023-0778-cve-2022-27649-cve-2021-41190-cve-2021-4024-cve-2022/?sphrase_id=197317https://access.redhat.com/security/cve/CVE-2022-1227https://bugzilla.redhat.com/show_bug.cgi?id=2070368https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DLUJZV3HBP56ADXU6QH2V7RNYUPMVBXQ/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J5WPM42UR6XIBQNQPNQHM32X7S4LJTRX/https://github.com/containers/podman/issues/10941https://github.com/containers/psgo/pull/92https://github.com/containers/podman/releases/tag/v4.0.0
Проверьте безопасность своего сайта и почты → Полная проверка домена