PT-2024-3765 · Unknown+2 · Cri-O Container Engine+2

Akihirosuda

+1

·

Publicado

2024-04-22

·

Atualizado

2024-09-12

·

CVE-2024-3154

CVSS v2.0

8.3

Alta

VetorAV:N/AC:L/Au:M/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do CRI-O Container Engine anteriores à versão corrigida
Descrição
Foi encontrada uma falha no CRI-O, na qual uma propriedade arbitrária do systemd pode ser injetada por meio de uma anotação de Pod. Qualquer usuário capaz de criar um Pod com uma anotação arbitrária pode realizar uma ação arbitrária no sistema host. Isso pode ser feito adicionando anotações como org.systemd.property.SuccessAction a um Pod, permitindo a execução de comandos arbitrários no sistema host.
Recomendações
Para versões do CRI-O Container Engine anteriores à versão corrigida, considere implementar um webhook de mutação externo para proibir anotações com o prefixo “org.systemd.property.” a fim de impedir a exploração.
Infelizmente, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77

Identificadores relacionados

ALT-PU-2024-8461
ALT-PU-2024-8463
ALT-PU-2024-8542
ALT-PU-2024-8544
ALT-PU-2024-8807
ALT-PU-2024-8809
AZL-42307
BDU:2024-04112
CVE-2024-3154
GHSA-2CGQ-H8XW-2V5J
GHSA-C5PJ-MQFH-RVC3
GO-2024-2791
OESA-2024-1671
OESA-2024-1675
OESA-2024-1688
OPENSUSE-SU-2024:14334-1
RHSA-2024:2669
RHSA-2024:2672
RHSA-2024:2784
RHSA-2024:3496

Produtos afetados

Alt Linux
Cri-O Container Engine
Red Os