BDU:2023-03675
IBM Corp., ООО «Ред Софт», Moby Project, Red Hat Inc., АО «ИВК», Cloud Native Computing Foundation, Containerd, Red Hat Enterprise Linux, Red Hat Advanced Cluster Management for Kubernetes, IBM CICS T
2021-11-17
Уязвимость приложения для упрощения и стандартизации распространения содержимого контейнеров Open Container Initiative Distribution Specification (OCI Distribution Specification) связана с ошибкой смешения типов при обработке заголовка Content-Type, содержащего поля «manifests» и «layers» или «manifests» и «config» в процессе выполнения операций push и pull. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Open Container Initiative Distribution Specification: https://github.com/opencontainers/distribution-spec/commit/ac28cac0557bcd3084714ab09f9f2356fe504923 https://github.com/opencontainers/distribution-spec/releases/tag/v1.0.1
Для OCI Image Format Specification: https://github.com/opencontainers/image-spec/releases/tag/v1.0.2 https://github.com/opencontainers/image-spec/security/advisories/GHSA-77vh-xpmg-72qh
Для Podman: https://github.com/containers/podman/releases/tag/v3.4.3
Для Containerd: https://github.com/containerd/containerd/releases/tag/v1.4.12 https://github.com/containerd/containerd/releases/tag/v1.5.8
Для Moby: https://github.com/moby/moby/releases/tag/v20.10.11
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-41190
Для Fedora:
ttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3TUZNDAH2B26VPBK342UC3BHZNLBUXGX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4334HT7AZPLWNYHW4ARU6JBUF3VZJPZN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A2RRFNTMFYKOTRKD37F5ANMCIO3GGJML/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DX63GRWFEI5RVMYV6XLMCG4OHPWZML27/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RZTO6N55WHKHIZI4IMLY2QFBPMVTAERM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SQBCYJUIM5GVCMFUPRWKRZNXMMI5EFA4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T4OJ764CKKCWCVONHD4YXTGR7HZ7LRUV/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YIGVQWOA5XXCQXEOOKZX4CDAGLBDRPRX/
Для IBM CICS TX Advanced: https://www.ibm.com/support/pages/security-bulletin-ibm-cics-tx-advanced-vulnerable-open-container-initiative-distribution-specification-vulnerability-cve-2021-41190
Компенсирующие меры: При извлечении данных из реестра рекомендуется проверять данные с заголовком Content-Type, содержащие поля «manifests» и «layers» или «manifests» и «config» и отклонять такие документы.
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства