検出

Ubuntu 16.04 ESM: containerd の脆弱性 (USN-5521-1)

high Nessus プラグイン ID 183540

Language:

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの Ubuntu 16.04ESM ホストにインストールされているパッケージは、USN-5521-1のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 -containerdはコンテナランタイムです。1.4.8 および 1.5.4 より前のバージョンの containerd にバグが見つかっています。このバグにより、特別に細工されたコンテナイメージをプルおよび抽出すると、ホストのファイルシステムの既存ファイルの Unix ファイルアクセス許可が変更される可能性があります。ファイルアクセス許可の変更により、ファイルの想定される所有者に対してアクセス拒否が行われたり、アクセスが他のユーザーに拡大されたり、setuid、setgid、stickyのような拡張ビットが設定されたりする可能性があります。このバグがあるため、追加の連携プロセスなしに直接ファイルの読み込み、変更、実行ができません。このバグは、containerd 1.5.4 および 1.4.8 で修正されました。回避策として、ユーザーが信頼できるソースからの画像のみをプルするようにします。SELinux や AppArmor のような Linux セキュリティモジュール (LSM) は、containerd が特定のファイルと相互作用することを防ぐポリシーやプロファイルを通じて、このバグの影響を受ける可能性のあるファイルを制限できます。(CVE-2021-32760)

 -containerdは、シンプルさ、堅牢性、およびポータビリティに重点を置いたオープンソースのコンテナランタイムです。
 containerd にバグが見つかりました。コンテナ root ディレクトリおよび一部のプラグインが十分に制限されていない権限があり、権限のない Linux ユーザーがディレクトリの内容をトラバースしてプログラムを実行する可能性があります。コンテナに拡張権限ビット (setuid など) のある実行可能プログラムが含まれている場合、権限のない Linux ユーザーがそれらのプログラムを発見して実行する可能性があります。ホスト上の権限のない Linux ユーザーの UID がコンテナ内のファイル所有者またはグループと競合すると、ホスト上の権限のない Linux ユーザーがこれらのファイルを検出、読み取り、変更する可能性があります。この脆弱性は、containerd 1.4.11およびcontainerd1.5.7で修正されました。ユーザーは、リリースされたときにこれらのバージョンに更新する必要があり、この脆弱性を緩和するためにコンテナを再起動するか、ディレクトリ権限を更新する可能性があります。アップグレードできないユーザーは、ホストへのアクセスを信頼できるユーザーに制限する必要があります。コンテナバンドルディレクトリのディレクトリ権限を更新してください。(CVE-2021-41103)

 - containerd はコンテナランタイムであり、Linux および Windows 用のデーモンとして利用可能です。バージョン、1.6.11.5.10、および 1.14.12より前の Containerd にバグが見つかりました。この問題により、特別に細工されたイメージ構成を持つ Linux 上の containerd の CRI 実装を通じて起動されたコンテナが、ホスト上の任意のファイルおよびディレクトリの読み取り専用コピーにアクセスする可能性があります。これにより、コンテナセットアップ (Kubernetes Pod セキュリティポリシーを含む) でのポリシーベースの実施がバイパスされ、機密情報が漏洩する可能性があります。
 Kubernetes と crictl はどちらも、containerd の CRI 実装を使用するように構成できます。このバグは、containerd、1.6.11.5.10および 1.4.12で修正されました。この問題を解決するには、ユーザーがこれらのバージョンに更新する必要があります。
 (CVE-2022-23648)

 - containerd は、オープンソースのコンテナランタイムです。containerd の CRI 実装にバグが見つかりました。コンテナ内部のプログラムにより、「ExecSync」API の呼び出し中に、containerd デーモンがメモリを消費する可能性があります。これにより、containerdがコンピューターで利用可能なすべてのメモリを消費し、他の正当なワークロードに対するサービスを拒否する可能性があります。Kubernetes と crictl はどちらも、containerd の CRI 実装を使用するように構成できます。「ExecSync」は、プローブを実行するとき、または exec 機能を介してプロセスを実行するときに使用される可能性があります。このバグは、containerd 1.6.6および1.5.13で修正されました。この問題を解決するには、ユーザーがこれらのバージョンに更新する必要があります。アップグレードできないユーザーは、信頼できるイメージとコマンドのみが使用されるようにする必要があります。(CVE-2022-31030)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けたcontainerdパッケージを更新してください。

参考資料

https://ubuntu.com/security/notices/USN-5521-1

プラグインの詳細

深刻度: High

ID: 183540

ファイル名: ubuntu_USN-5521-1.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

公開日: 2023/10/20

更新日: 2023/10/20

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2021-41103

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:esm, p-cpe:/a:canonical:ubuntu_linux:containerd

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/7/15

脆弱性公開日: 2021/7/19

参照情報

CVE: CVE-2021-32760, CVE-2021-41103, CVE-2022-23648, CVE-2022-31030

USN: 5521-1