PT-2024-2548 · Cri-O+1 · Cri-O+1
Rohit Keshri
·
Publicado
2024-01-09
·
Atualizado
2024-06-28
·
CVE-2023-6476
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do CRI-O anteriores à 1.29.1
Versões do CRI-O anteriores à 1.28.3
Versões do CRI-O anteriores à 1.27.3
Descrição
Foi encontrada uma falha no CRI-O que envolve uma anotação experimental, levando a um contêiner sem restrições. Isso pode permitir que um pod especifique e obtenha qualquer quantidade de memória/CPU, contornando o agendador do Kubernetes e potencialmente resultando em uma negação de serviço no nó. O problema está relacionado à anotação
io.kubernetes.cri-o. UnifiedCgroup, que deveria ter sido filtrada da lista de anotações permitidas, mas não o foi devido a um bug. Isso permite que qualquer usuário especifique essa anotação, independentemente de ela estar habilitada no nó.Recomendações
Para versões do CRI-O anteriores à 1.29.1, atualize para a versão 1.29.1 ou posterior.
Para versões do CRI-O anteriores à 1.28.3, atualize para a versão 1.28.3 ou posterior.
Para versões do CRI-O anteriores à 1.27.3, atualize para a versão 1.27.3 ou posterior.
Como solução alternativa temporária, considere usar o cgroupv1 em vez do cgroupv2.
Correção
DoS
Allocation of Resources Without Limits
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cri-O
Red Os