Vulnerabilidad en un manifiesto de imagen de contenedor en el formato OCI Image o el formato Docker Image V2 Schema 2 incluye una URL en containerd (CVE-2020-15157)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-522
Credenciales insuficientemente protegidas
Fecha de publicación:
16/10/2020
Última modificación:
18/11/2021
Descripción
En containerd (un tiempo de ejecución de contenedor estándar de la industria) anterior a la versión 1.2.14, Se presenta una vulnerabilidad de filtrado de credenciales. Si un manifiesto de imagen de contenedor en el formato OCI Image o el formato Docker Image V2 Schema 2 incluye una URL para la ubicación de una capa de imagen específica (también se conoce como “foreign layer”), el solucionador de containerd predeterminado seguirá esa URL para intentar descargarla. En la versión v1.2.x pero no en 1.3.0 o posterior, el solucionador de containerd predeterminado proporcionará sus credenciales de autenticación si el servidor donde se encuentra la URL presenta un código de estado HTTP 401 junto con encabezados HTTP específicos del registro. Si un atacante publica una imagen pública con un manifiesto que indica que una de las capas se extraiga de un servidor web que controlan y engaña a un usuario o sistema para que extraiga la imagen, pueden obtener las credenciales usadas para extraer esa imagen. En algunos casos, puede ser el nombre de usuario y la contraseña del usuario para el registro. En otros casos, estas pueden ser las credenciales adjuntas a la instancia virtual en nube que pueden otorgar acceso a otros recursos en nube en la cuenta. El solucionador de containerd predeterminado es usado por el plugin cri-containerd (que puede ser usado por Kubernetes), la herramienta de desarrollo ctr y otros programas cliente que se han vinculado explícitamente con él. Esta vulnerabilidad ha sido corregida en containerd versión 1.2.14. containerd versión 1.3 y posteriores no están afectados. Si está utilizando containerd versión 1.3 o posterior, no estará afectado. Si está utilizando cri-containerd en la serie 1.2 o anterior, debe asegurarse de obtener solo imágenes de fuentes confiables. Otros tiempos de ejecución de contenedores construidos por encima de containerd pero que no usan el solucionador predeterminado (tal y como Docker) no están afectados
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linuxfoundation:containerd:*:*:*:*:*:*:*:* | 1.2.0 (incluyendo) | 1.2.14 (excluyendo) |
| cpe:2.3:a:linuxfoundation:containerd:1.3.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:linuxfoundation:containerd:1.3.0:beta0:*:*:*:*:*:* | ||
| cpe:2.3:a:linuxfoundation:containerd:1.3.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:linuxfoundation:containerd:1.3.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:linuxfoundation:containerd:1.3.0:rc0:*:*:*:*:*:* | ||
| cpe:2.3:a:linuxfoundation:containerd:1.3.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:linuxfoundation:containerd:1.3.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:linuxfoundation:containerd:1.3.0:rc3:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página