漏洞描述
containerd 是一个开源的容器运行环境,containerd CRI 是一个使 kubelet 或 crictl 等服务能够使用 containerd 容器运行的接口,stream server 用于处理容器 IO 。
containerd 的受影响版本中的 CRI stream server 在处理用户调整终端大小的 tty 请求时存在不受控制的资源消耗漏洞,漏洞源于 CRI stream server 会启动一个 goroutine 线程来处理用户的 tty 请求,当用户的进程由于意外(如错误命令)无法启动时,该 goroutine 线程将在没有接收者的情况下等待发送(挂起),从而导致内存泄漏。攻击者可通过发送恶意的 tty 请求造成 containerd 容器拒绝服务。
| 漏洞名称 | containerd CRI stream server 存在拒绝服务漏洞 |
|---|---|
| 漏洞类型 | 拒绝服务 |
| 发现时间 | 2022-12-08 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2022-1898 |
| CVE编号 | CVE-2022-23471 |
| CNVD编号 | - |
影响范围
containerd@(-∞, 1.5.16)
containerd@[1.6.0, 1.6.12)
修复方案
升级containerd到 1.5.16 或 1.6.12 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-1898
https://nvd.nist.gov/vuln/detail/CVE-2022-23471
https://github.com/containerd/containerd/security/advisories/GHSA-2qjp-425j-52j9
https://github.com/containerd/containerd/commit/a05d175400b1145e5e6a735a6710579d181e7fb0
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
