Amazon Linux 2：containerd (ALASDOCKER-2024-035)

high Nessus 插件 ID 189472

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 containerd 版本低于 1.7.2-1。因此，如公告 ALAS2DOCKER-2024-035 所述，受到多个漏洞的影响。

- 攻击者可构建需要 ParseAcceptLanguage 花费大量时间来解析的 Accept-Language 标头，从而造成拒绝服务。(CVE-2022-32149)

- 使用 MaxBytesHandler 时可能发生请求走私攻击。使用 MaxBytesHandler 时，未完全消耗 HTTP 请求的正文。当服务器尝试从连接读取 HTTP2 帧时，反而会读取 HTTP 请求的正文，而请求正文可能会被攻击者操纵为代表任意 HTTP2 请求。(CVE-2022-41721)

- containerd 是一个开源容器运行时。在 1.6.18 之前版本和 1.5.18 之前版本中，导入 OCI 镜像时，对某些文件的读取字节数没有限制。在未应用限制的情况下，恶意构建的包含大文件的镜像可导致拒绝服务。此错误已在 containerd 1.6.18 和 1.5.18 中修复。用户应更新到这些版本以解决该问题。变通方案是，确保仅使用受信任的镜像，并且只有受信任的用户才具有导入镜像的权限。
(CVE-2023-25153)

- containerd 是一个开源容器运行时。在低于 1.6.18 和 1.5.18 版的 containerd 中发现一个缺陷，容器内的附属组设置不正确。如果攻击者拥有对容器的直接访问权限并能操纵其附属群组访问权限，则在某些情况下，他们可能会使用附属群组访问权限绕过主要群组限制，从而可能获得对敏感信息的访问权限或在该容器中执行代码的能力。使用 containerd 客户端库的下游应用程序也可能受到影响。已在 containerd v1.6.18 和 v.1.5.18 中修复此错误。用户应更新到这些版本并重新创建容器以解决该问题。
用户如果依赖使用 containerd 客户端库的下游应用程序，应检查该应用程序是否有单独的公告和说明。变通方案是，确保不使用 `USER $USERNAME` Dockerfile 指令，将容器入口点设置为类似于“ENTRYPOINT [su, -, user]”的值，以允许“su”正确设置附属组。(CVE-2023-25173)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。