Связаться с намиПодключиться

Бюллетени безопасности

Статья создана
Улучшена
Обновлена 21 октября 2024 г.

На этой странице приводятся рекомендации специалистов Yandex Cloud по вопросам безопасности.

06.03.2024 — CVE-2024-21626 Взлом runc process.cwd и утечка контейнера fds

Идентификатор CVE (CVE ID): CVE-2024-21626

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-23919

Исходный отчет

https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv

Краткое описание

runc – это инструмент CLI для создания и запуска контейнеров на Linux согласно спецификации OCI. В runc 1.1.11 и более ранних версиях, вследствие утечки внутреннего дескриптора файлов, злоумышленник мог запустить процесс создания контейнера из runc exec с целью получения рабочей директории в пространстве имен файловой системы хоста. Таким образом, могла произойти утечка контейнера через предоставление доступа к файловой системе хоста («атака 2»). Подобная атака могла быть организована и с помощью вредоносного образа, благодаря которому процесс контейнера получал доступ к файловой системе хоста через runc run («атака 1»). Разновидности атак 1 и 2 также могли использоваться для перезаписи полупроизвольных бинарных файлов хоста, что приводило к полной утечке контейнера («атака 3а» и «атака 3б»).

Патч, включенный в runc версии 1.1.12, устраняет данную проблему.

Затронутые технологии

runc

Уязвимые продукты и версии

От версии 1.0.0 до 1.1.11 включительно.

Вектор атаки и уровень опасности согласно CVSS v.3.0

7,5 HIGH.

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

Общедоступные фрагменты вредоносного кода:

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версии 1.1.12.

Влияние на сервисы Yandex Cloud

Текущие и планируемые к выпуску образы, использующие runc, обновлены до последней версии. При использовании на ВМ собственного образа, который подвержен уязвимости, рекомендуется обновить его самостоятельно.

05.07.2024 — CVE-2024-6387 RegreSSHion

Идентификатор CVE (CVE ID): CVE-2024-6387

Ссылка на CVE: https://www.cve.org/CVERecord?id=CVE-2024-6387

Исходный отчет

https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

Краткое описание

Уязвимость заключается в появлении состояния гонки на сервере OpenSSH (sshd), что позволяет в некоторых случаях выполнять удаленный код без проверки подлинности (RCE) от имени пользователя root в Linux-системах на базе glibc, что представляет значительную угрозу безопасности. Процесс эксплуатации занимает не менее шести часов.

Затронутые технологии

openssh-server

Уязвимые продукты и версии

  • openssh-server до версии 4.4p1;
  • openssh-server версий от 8.5p1 до 9.8p1.

Вендор

OpenBSD Project

Вектор атаки и уровень опасности согласно CVSS v.3.0

Базовая оценка: 8,1 HIGH

Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

В качестве временного решения рекомендуется установить значение 0 для параметра LoginGraceTime в конфигурационном файле /etc/ssh/sshd_config. Это предотвратит возможную эксплуатацию уязвимости, но потенциально позволит осуществить DDoS-атаку на сервер.

Смотрите также: https://lists.mindrot.org/pipermail/openssh-unix-dev/2024-July/041431.html

Безопасная версия уязвимого продукта или патч

Узнайте используемую версию openssh-server с помощью команды dpkg -l openssh-server. Если вы используете версию с уязвимостью, обновите пакет до версии 9.8p1 или выше.

Влияние на сервисы Yandex Cloud

Базовые образы ВМ обновлены до актуальных версий. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.

Проведена проверка на наличие уязвимых внутренних сервисов Yandex Cloud.

06.03.2024 — CVE-2023-23919 Множественные ошибки OpenSSL при обработке задач в криптобиблиотеке node.js

Идентификатор CVE (CVE ID): CVE-2023-23919

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-23919

Исходный отчет

https://hackerone.com/reports/1808596

Краткое описание

Уязвимость криптографического характера наблюдается в Node.js версии ниже 19.2.0, 18.14.1, 16.19.1 и 14.21.3. В некоторых случаях ошибки OpenSSL не устраняются по завершении операций, вызвавших их. Это может привести к ложноположительным срабатываниям во время выполнения последующих криптографических операций, которые попадают в тот же поток. В конечном итоге это может вызвать отказ сервиса.

Затронутые технологии

Node.js. Также затрагивает OpenSSL.

Уязвимые продукты и версии

Node.js версий 19.2.0, 18.14.1, 16.19.1, 14.21.3 и ниже.

Вендор

OpenJS Foundation

Вектор атаки и уровень опасности согласно CVSS v.3.0

Базовая оценка: 7,5.

HIGHVector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

Безопасная версия уязвимого продукта или патч

В новых релизах Node.js и OpenSSL данная ошибка исправлена.

Влияние на сервисы Yandex Cloud

Актуальные образы уже содержат обновленный Node.js. При использовании на ВМ собственных образов, на которые могут распространяться указанные уязвимости, рекомендуется провести обновление самостоятельно.

06.03.2024 — CVE-2023-23946 Критически значимый для безопасности релиз GitLab, версии 15.8.2, 15.7.7 и 15.6.8

Идентификатор CVE (CVE ID): CVE-2023-23946

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-23946

Исходный отчет

Краткое описание

Множественные уязвимости. Полный перечень:

https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/

Затронутые технологии

GitLab

Уязвимые продукты и версии

GitLab CE/EE версии ниже 15.8.2, а также 15.7.7 и 15.6.8

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

Базовая оценка: 6,2.

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/

Безопасная версия уязвимого продукта или патч

Уязвимости устранены в версиях 15.8.2, 15.7.7 и 15.6.8.

Влияние на сервисы Yandex Cloud

Для пользователей Yandex Managed Service for GitLab существующие и планирующиеся к выпуску экземпляры уже обновлены до последней версии. При использовании образа на ВМ рекомендуется обновить его самостоятельно.

06.03.2024 — CVE-CVE-2023-22490 Критически значимый для безопасности релиз GitLab, версии 15.8.2, 15.7.7 и 15.6.8

Идентификатор CVE (CVE ID): CVE-CVE-2023-22490

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-CVE-2023-22490

Исходный отчет

Краткое описание

Множественные уязвимости. Полный перечень:

https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/

Затронутые технологии

GitLab

Уязвимые продукты и версии

GitLab CE/EE версии ниже 15.8.2, а также 15.7.7 и 15.6.8

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

CVE-2023-22490

Базовая оценка: 5,5. CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/

Безопасная версия уязвимого продукта или патч

Уязвимости устранены в версиях 15.8.2, 15.7.7 и 15.6.8.

Влияние на сервисы Yandex Cloud

Для пользователей Yandex Managed Service for GitLab существующие и планирующиеся к выпуску экземпляры уже обновлены до последней версии. При использовании образа на ВМ рекомендуется обновить его самостоятельно.

28/12/2023: CVE-2023-44487 DDoS-атака быстрого сброса HTTP/2

CVE ID: CVE-2023-44487

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-44487

Исходный отчет

https://gist.github.com/adulau/7c2bfb8e9cdbe4b35a5e131c66a0c088

Краткое описание

Yandex Cloud применил все необходимые меры для противодействия уязвимости CVE-2023-44487, известной под названием Быстрый сброс HTTP/2.

Эта уязвимость связана с работой протокола HTTP/2. При определенных условиях этот протокол можно использовать для проведения атаки отказа в обслуживании на таких веб-серверах как NGINX, envoy, а также в других продуктах, реализующих серверную часть спецификации HTTP/2. Для защиты систем от этой атаки рекомендуем немедленно обновить свои веб-серверы.

Затронутые технологии

NGINX, HTTP/2

Уязвимые продукты и версии

  • NGINX Open Source 1.x: 1.25.2 - 1.9.5
  • Пакет org.apache.tomcat.embed:tomcat-embed-core, версии [8.5.94, [9.0.0,9.0.81], [10.0.0,10.1.14], [11.0.0-M3,11.0.0-M12]
  • NGINX Ingress Controller
    • 3.x 3.0.0 - 3.3.0 3.3.1
    • 2.x 2.0.0 - 2.4.2
    • 1.x 1.12.2 - 1.12.5
  • Envoy 1.27.1, 1.26.5, 1.25.10 или 1.24.10
  • NGINX Plus R2x R25 - R30
  • BIG-IP (все модули) 17.x 17.1.0
  • BIG-IP Next (все модули) 20.x 20.0.1
  • BIG-IP Next SPK 1.x, версии с 1.5.0 по 1.8.2
  • https://my.f5.com/manage/s/article/K000137106

Базовый вектор атаки и уровень опасности уязвимости согласно CVSS v.3.0

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

Процедура проверки уязвимости и дополнительные материалы (PoC-код, видеодемонстрация и т.д.):

https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/

https://github.com/envoyproxy/envoy/security/advisories/GHSA-jhv4-f7mr-xx76

https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHETOMCATEMBED-5953331

Версия обновления или патча:

Безопасная версия или патч для уязвимого продукта

Находится в разработке.

Затрагиваются ли облачные сервисы?

Нет

28/12/2023: Уязвимость Reptar в Ice Lake (IPU Out-of-Band)

CVE ID: CVE-2023-23583

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-5043

Краткое описание

Уязвимость Reptar затрагивает серверные системы на базе Intel, производитель выпустил необходимые патчи. Инфраструктура Yandex Cloud была обновлена.

Уязвимость потенциально приводила к эскалации привилегий.

Затронутые технологии

Intel (микрокод)

Уязвимые продукты и версии

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00950.html

https://www.intel.com/content/www/us/en/developer/topic-technology/software-security-guidance/processors-affected-consolidated-product-cpu-model.html

Базовый вектор атаки и уровень опасности уязвимости согласно CVSS v.3.0

7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

Процедура проверки уязвимости и дополнительные материалы (PoC-код, видеодемонстрация и т.д.):

https://lock.cmpxchg8b.com/reptar.html

Версия обновления или патча:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00950.html

Безопасная версия уязвимого продукта или патч

Уязвимость исправлена начиная с версии 1.9.0.

Затрагиваются ли облачные сервисы?

Нет

28/12/2023: CVE-2023-46850 Патч безопасности OpenVPN вер. 2.6.7

CVE ID: CVE-2023-46849, CVE-2023-46850

Ссылки на CVE:

https://nvd.nist.gov/vuln/detail/CVE-2023-46849
https://nvd.nist.gov/vuln/detail/CVE-2023-46850

Исходный отчет

https://openvpn.net/community-downloads/

Краткое описание

Уязвимость CVE-2023-46850 может привести к отправке содержимого памяти процесса на другую сторону соединения, а также, потенциально – к удаленному выполнению кода.

Уязвимость CVE-2023-46849 может привести к удаленному инициированию аварийного выключения сервера доступа.

Затронутые технологии

OpenVPN

Уязвимые продукты и версии

Версии от v2.6.0 до v2.6.6

Базовый вектор атаки и уровень опасности уязвимости согласно CVSS v.3.0

Cеть.

Процедура проверки уязвимости и дополнительные материалы (PoC-код, видеодемонстрация и т.д.)

PoC-код в разработке.

Безопасная версия уязвимого продукта или патч

Уязвимость исправлена начиная с версии 2.6.7.

Затрагиваются ли облачные сервисы?

Да.

3.11.2023 — CVE-2023-5043 Nginx ingress controller for Kubernetes vulnerabilities

CVE ID: CVE-2023-5043 , CVE-2023-5044 и CVE-2022-4886

Ссылки на CVE:

https://nvd.nist.gov/vuln/detail/CVE-2023-5043
https://nvd.nist.gov/vuln/detail/CVE-2023-5044
https://nvd.nist.gov/vuln/detail/CVE-2022-4886

Исходный отчет

https://github.com/kubernetes/ingress-nginx/issues/10571
https://github.com/kubernetes/ingress-nginx/issues/10572
https://github.com/kubernetes/ingress-nginx/issues/10570

Краткое описание

Первые две бреши, CVE-2023-5043 и CVE-2023-5044, связаны с недостаточной проверкой входных данных и могут привести к внедрению произвольного кода, получению привилегированных учётных данных и краже всех секретов кластера. Обе проблемы имеют оценку уязвимости 7,6 из 10 по шкале CVSS.

Третья уязвимость, CVE-2022-4886, оценивается более высоко — 8,8 по шкале CVSS. Эта проблема может быть эксплуатирована при создании или обновлении объектов Ingress, позволяя злоумышленникам получить доступ к учётным данным Kubernetes API из контроллера Ingress и, следовательно, украсть все секреты кластера. Она затрагивает версии до 1.8.0 включительно.

Затронутые технологии

NGINX

Уязвимые продукты и версии

NGINX до версии 1.9.0.

Рекомендации по обнаружению уязвимости и дополнительные материалы

Наши рекомендации для предотвращения использования данных уязвимостей:

  1. Обновить NGINX Ingress контролер до версии 1.9.0, с этой версии добавлена валидация аннотаций и отключены пользовательские сниппеты по умолчанию.

  2. Добавить к опциям запуска контроллера аргумент --enable-annotation-validation.

  3. Добавить в конфигурацию (Configmap) контроллера опцию strict-validate-path-type.

  4. Использовать Policy Engine, например Kyverno для валидации путей, используемых в правилах Ingress. Подходящую политику можно найти на сайте Kyverno.

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версии 1.9.0.

Влияние на сервисы Yandex Cloud

В случае использования ALB Ingress контроллера от Yandex Cloud данные уязвимости не применимы, так как он строится на других технологиях и не имеет аннотаций и настроек, необходимых для реализации уязвимостей.

26.10.2023 — CVE-2023-3484 Обновление системы безопасности GitLab Security Release: 16.1.2, 16.0.7 и 15.11.11

CVE ID: CVE-2023-3484

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-3484

Исходный отчет

https://about.gitlab.com/releases/2023/07/05/security-release-gitlab-16-1-2-released/

Краткое описание

Компания GitLab устранила уязвимость CVE-2023-3484.

Проблема была обнаружена в GitLab EE и затронула все версии начиная с 12.8 и ниже 15.11.11, все версии начиная с 16.0 и ниже 16.0.7, а также все версии начиная с 16.1 и ниже 16.1.2. В ряде случаев, уязвимость позволяла злоумышленнику изменить название или путь к общедоступной группе верхнего уровня.

Затронутые технологии

GitLab

Уязвимые продукты и версии

GitLab CE/EE, версии ниже 16.1.2, 16.0.7 и 15.11.11

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

Рейтинг CVSS: от 3.1 до 6.1

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://about.gitlab.com/releases/2023/07/05/security-release-gitlab-16-1-2-released/

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в GitLab CE/EE начиная с версий 16.1.2, 16.0.7 и 15.11.11

Влияние на сервисы Yandex Cloud

Мы перевели на последнюю версию GitLab все наши текущие и будущие образы, а также планируемые к развертыванию инстансы Managed Service for GitLab. Если вы используете собственные образы на своих машинах, и на них распространяются указанные уязвимости, рекомендуем провести обновление самостоятельно.

26.10.2023 — CVE-2023-3424 - CVE-2023-1936 Обновление системы безопасности GitLab Security Release: 16.1.1, 16.0.6 и 15.11.10

CVE ID: CVE-2023-3424 - CVE-2023-1936

Ссылка на CVE: https://about.gitlab.com/releases/2023/06/29/security-release-gitlab-16-1-1-released/

Исходный отчет

https://about.gitlab.com/releases/2023/06/29/security-release-gitlab-16-1-1-released/

Краткое описание

Компания GitLab выпустила обновление системы безопасности, в котором был исправлен ряд уязвимостей. С полным списком обновлений можно ознакомиться здесь:

https://about.gitlab.com/releases/2023/06/29/security-release-gitlab-16-1-1-released/

Затронутые технологии

GitLab

Уязвимые продукты и версии

GitLab CE/EE, версии ниже 16.1.1, 16.0.6 и 15.11.10

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

Рейтинг CVSS: от 3.5 до 7.5

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://about.gitlab.com/releases/2023/06/29/security-release-gitlab-16-1-1-released/

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в GitLab CE/EE начиная с версий 16.1.1, 16.0.6 и 15.11.10

Влияние на сервисы Yandex Cloud

Мы перевели на последнюю версию GitLab все наши текущие и будущие образы, а также планируемые к развертыванию инстансы Managed Service for GitLab. Если вы используете собственные образы на своих машинах, и на них распространяются указанные уязвимости, рекомендуем провести обновление самостоятельно.

26.10.2023 — CVE-2023-2442 - CVE-2023-2013 Обновление системы безопасности GitLab Security Release: 16.0.2, 15.11.7 и 15.10.8

CVE ID: CVE-2023-2442 - CVE-2022-2013

Ссылка на CVE: https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/

Исходный отчет

https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/

Краткое описание

Компания GitLab выпустила обновление системы безопасности, в котором был исправлен ряд уязвимостей. С полным списком обновлений можно ознакомиться здесь:

https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/

Затронутые технологии

GitLab

Уязвимые продукты и версии

GitLab CE/EE, версии ниже 16.0.2, 15.11.7 и 15.10.8

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

Рейтинг CVSS: от 2.6 до 8.7

Рекомендации по обнаружению уязвимостей и вспомогательные материалы

https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в GitLab CE/EE начиная с версий 16.0.2, 15.11.7 и 15.10.8

Влияние на сервисы Yandex Cloud

Мы перевели на последнюю версию GitLab все наши текущие и будущие образы, а также планируемые к развертыванию инстансы Managed Service for GitLab. Если вы используете собственные образы на своих машинах, и на них распространяются указанные уязвимости, рекомендуем провести обновление самостоятельно.

16.10.2023 — BDU-2023-05857 Уязвимость модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс

CVE ID: BDU:2023-05857

Ссылка на CVE: https://bdu.fstec.ru/vul/2023-05857

Исходный отчет

https://bdu.fstec.ru/vul/2023-05857

Краткое описание

Уязвимость модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.

Затронутые технологии

1С-Битрикс: Управление сайтом

Уязвимые продукты и версии

до 23.850.0

Вендор

ООО 1С-Битрикс

Вектор атаки и уровень опасности согласно CVSS v.3.0

Рейтинг 10. Вектор CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

Безопасная версия уязвимого продукта или патч

Версия landing 23.850.0 и выше.

Компенсационные меры для пользователей Yandex Cloud

Обновление программного продукта до версии landing 23.850.0 и выше.

Влияние на сервисы Yandex Cloud

Мы обновили существующие и будущие образы до актуальной версии. Необходимо проверить текущую версию используемого ПО и обновить его при необходимости. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.

06.10.2023 — CVE-2023-35943 CORS filter segfault when origin header is removed

CVE ID: CVE-2023-35943

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-35943

Исходный отчет

https://github.com/envoyproxy/envoy/security/advisories/GHSA-mc6h-6j9x-v3gq

Краткое описание

До версий 1.27.0, 1.26.4, 1.25.9, 1.24.10 и 1.23.12 фильтр CORS приводил к ошибкам сегментации и аварийному завершению работы Envoy, когда заголовок origin удалялся между decodeHeaders и encodeHeaders. В версиях 1.27.0, 1.26.4, 1.25.9, 1.24.10 и 1.23.12 эта проблема исправлена.

Затронутые технологии

Envoy

Уязвимые продукты и версии

Envoy до версий 1.27.0, 1.26.4, 1.25.9, 1.24.10, 1.23.12

Вендор

Envoy

Вектор атаки и уровень опасности согласно CVSS v.3.0

Рейтинг 7.5. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

Рекомендуется обновление до актуальных версий. Если обновление невозможно, не удаляйте заголовок origin в конфигурации Envoy.

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версиях 1.27.0, 1.26.4, 1.25.9, 1.24.10, 1.23.12

Влияние на сервисы Yandex Cloud

Мы обновили существующие и будущие образы до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.

06.10.2023 — CVE-2023-35941 OAuth2 credentials exploit with permanent validity

CVE ID: CVE-2023-35941

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-35941

Исходный отчет

https://github.com/envoyproxy/envoy/security/advisories/GHSA-7mhv-gr67-hq55

Краткое описание

До версий 1.27.0, 1.26.4, 1.25.9, 1.24.10 и 1.23.12 злоумышленник мог создавать учетные данные с постоянным сроком действия. Это происходило в редких сценариях, в которых полезная нагрузка HMAC могла всегда успешно проходить проверку фильтра OAuth2. В качестве обходного пути избегайте подстановочных знаков/префиксов домена в конфигурации домена хоста.

Затронутые технологии

Envoy

Уязвимые продукты и версии

Envoy до версий 1.27.0, 1.26.4, 1.25.9, 1.24.10, 1.23.12

Вендор

Envoy

Вектор атаки и уровень опасности согласно CVSS v.3.0

Рейтинг 9.8. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

Рекомендуется обновление до актуальных версий. Если обновление невозможно, не используйте подстановочные знаки/префиксы домена в конфигурации домена хоста.

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версиях 1.27.0, 1.26.4, 1.25.9, 1.24.10, 1.23.12

Влияние на сервисы Yandex Cloud

Мы обновили существующие и будущие образы до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.

03.07.2023 — CVE-2023-2478 GitLab Critical Security Release: 15.11.2, 15.10.6, and 15.9.7

CVE ID: CVE-2023-2478

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-2478

Исходный отчет

https://about.gitlab.com/releases/2023/05/05/critical-security-release-gitlab-15-11-2-released/#malicious-runner-attachment-via-graphql

Краткое описание

Gitlab закрыл CVE-2023-2478.

В GitLab CE/EE обнаружена проблема, затрагивающая все версии, начиная с 15.4 до 15.9.7, с 15.10 до 15.10.6 и с 15.11 до 15.11.2. При определенных условиях злонамеренный неавторизованный пользователь GitLab может использовать эндпойнт GraphQL для подключения вредоносного GitLab runner к любому проекту.

Затронутые технологии

GitLab

Уязвимые продукты и версии

GitLab CE/EE до 15.11.2, 15.10.6, 15.9.7

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

Рейтинг 9.6. Вектор CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://about.gitlab.com/releases/2023/05/05/critical-security-release-gitlab-15-11-2-released/#malicious-runner-attachment-via-graphql

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версиях 15.11.2, 15.10.6, 15.9.7

Влияние на сервисы Yandex Cloud

Мы обновили существующие и будущие образы, а так же будущие инстансы Managed Service for GitLab до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.

03.07.2023 — CVE-2023-27561 Race-condition to bypass masked paths

CVE ID: CVE-2023-27561

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-27561

Исходный отчет

https://gist.github.com/LiveOverflow/c937820b688922eb127fb760ce06dab9

Краткое описание

runc до версии 1.1.4 имеет неправильный контроль доступа, приводящий к повышению привилегий, связанных с libcontainer/rootfs_linux.go. Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь возможность создать два контейнера с пользовательскими конфигурациями монтирования томов и иметь возможность запускать пользовательские образы.

Затронутые технологии

Linux kernel (runc)

Уязвимые продукты и версии

runc до версии 1.1.5

Вендор

Linux kernel

Вектор атаки и уровень опасности согласно CVSS v.3.0

Рейтинг 7.0. Вектор CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

Рекомендуется обновление до актуальных версий.

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версии 1.1.5

Влияние на сервисы Yandex Cloud

Мы обновили существующие и будущие образы, использующие runc, до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.

03.07.2023 — CVE-2023-27492 Crash when a large request body is processed in Lua filter

CVE ID: CVE-2023-27492

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-27492

Исходный отчет

https://github.com/envoyproxy/envoy/security/advisories/GHSA-wpc2-2jp6-ppg2

Краткое описание

До версий 1.26.0, 1.25.3, 1.24.4, 1.23.6 и 1.22.9 фильтр Lua был уязвим для отказа в обслуживании. Злоумышленники могут отправлять запросы с большим количеством данных в теле для маршрутов с включенным фильтром Lua и вызывать сбои. Начиная с версий 1.26.0, 1.25.3, 1.24.4, 1.23.6 и 1.22.9, Envoy больше не вызывает сопрограмму Lua, если фильтр был сброшен.

Затронутые технологии

Envoy

Уязвимые продукты и версии

Envoy до версий 1.26.0, 1.25.3, 1.24.4, 1.23.6, 1.22.9

Вендор

Envoy

Вектор атаки и уровень опасности согласно CVSS v.3.0

Рейтинг 6.5. Вектор CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

Необходимо обновление до свежих версий.

https://github.com/envoyproxy/envoy/security/advisories/GHSA-wpc2-2jp6-ppg2

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версиях 1.26.0, 1.25.3, 1.24.4, 1.23.6, 1.22.9

Влияние на сервисы Yandex Cloud

Мы обновили версию компонента, которая используется в наших сервисах, до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.

03.07.2023 — CVE-2023-27491 Envoy forwards invalid HTTP/2 and HTTP/3 downstream headers

CVE ID: CVE-2023-27491

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-27491

Исходный отчет

https://github.com/envoyproxy/envoy/security/advisories/GHSA-5jmv-cw9p-f9rp

Краткое описание

Совместимая служба HTTP/1 должна отклонять неправильно сформированные строки запроса. До версий 1.26.0, 1.25.3, 1.24.4, 1.23.6 и 1.22.9 существовала вероятность того, что несоответствующая служба HTTP/1 может разрешать выполнение неправильно сформированных запросов, что потенциально может привести к обходу политик безопасности.

Затронутые технологии

Envoy

Уязвимые продукты и версии

Envoy до версий 1.26.0, 1.25.3, 1.24.4, 1.23.6, 1.22.9

Вендор

Envoy

Вектор атаки и уровень опасности согласно CVSS v.3.0

Рейтинг 9.1. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Рекомендации по обнаружению уязвимости и дополнительные материалы

Необходимо обновление до свежих версий.

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версиях 1.26.0, 1.25.3, 1.24.4, 1.23.6, 1.22.9

Влияние на сервисы Yandex Cloud

Мы обновили версию компонента, которая используется в наших сервисах, до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.

03.07.2023 — CVE-2022-3513 - CVE-2022-3375. GitLab Security Release: 15.10.1, 15.9.4, and 15.8.5

CVE ID: CVE-2022-3513 - CVE-2022-3375

Ссылка на CVE: https://about.gitlab.com/releases/2023/03/30/security-release-gitlab-15-10-1-released/

Исходный отчет

https://about.gitlab.com/releases/2023/03/30/security-release-gitlab-15-10-1-released/

Краткое описание

GitLab выпустил релиз безопасности, в котором закрыты множественные уязвимости. Полный список:

https://about.gitlab.com/releases/2023/03/30/security-release-gitlab-15-10-1-released/

Затронутые технологии

GitLab

Уязвимые продукты и версии

GitLab CE/EE до 15.10.1, 15.9.4, 15.8.5

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

Рейтинг от 3.1 до 6.1

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://about.gitlab.com/releases/2023/03/30/security-release-gitlab-15-10-1-released/

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версиях 15.10.1, 15.9.4, 15.8.5

Влияние на сервисы Yandex Cloud

Мы обновили существующие и будущие образы, а так же будущие инстансы Managed Service for GitLab до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.

13.04.2023 — CVE-2023-26463 — StrongSwan IPsec — Incorrectly Accepted Untrusted Public Key With Incorrect Refcount

CVE ID: CVE-2023-26463

Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-26463

Исходный отчет

https://www.strongswan.org/blog/2023/03/02/strongswan-vulnerability-(cve-2023-26463).html

Краткое описание

Реализация TLS в libtls неверно идентифицирует открытый ключ из сертификата однорангового узла как доверенный, даже если сертификат не проходит проверку. Однако у открытого ключа также возникает ошибка при подсчете количества ссылок, что приводит к разыменованию указателя с истекшим сроком действия. Обычно это приводит к сбою сегментации и отказу сервиса, но при этом возможно раскрытие информации или выполнение кода.

Злоумышленник может вызвать этот сбой, отправив самоподписанный (или по другим причинам ненадежный) сертификат на сервер, который аутентифицирует клиентов с помощью метода EAP на основе TLS, такого как EAP-TLS. Клиенты могут быть также уязвимы для злоумышленников, которые отправляют им запрос на такой метод EAP с ненадежным сертификатом сервера. Затронуты версии strongSwan 5.9.8 и 5.9.9.

Затронутые технологии

StrongSwan IPsec

Уязвимые продукты и версии

StrongSwan IPsec до версии 5.9.10

Вендор

StrongSwan IPsec

Вектор атаки и уровень опасности согласно CVSS v.3.0

Not installed on 29.03.2023.

Рекомендации по обнаружению уязвимости и дополнительные материалы

Серверы, которые не загружают плагины, реализующие методы EAP на основе TLS (EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-TNC), не подвержены этой уязвимости. Если эти плагины загружаются, они не должны использоваться в качестве способа удаленной аутентификации. Также не следует использовать плагин eap-dynamic, поскольку он позволяет клиентам выбирать предпочтительный метод EAP. Серверы, которые используют методы на основе TLS через плагин eap-radius только в качестве способа удаленной аутентификации, также не подвержены этой уязвимости.

Безопасная версия уязвимого продукта или патч

StrongSwan IPsec начиная с версии 5.9.10

Влияние на сервисы Yandex Cloud

Образ StrongSwan IPsec в Yandex Cloud Marketplace не подвержен данной уязвимости согласно https://ubuntu.com/security/CVE-2023-26463. Если вы используете собственный образ на ВМ, который подвержен уязвимости, то рекомендуется обновить его самостоятельно.

13.04.2023 — CVE-2023-0286 — OpenSSL Security Advisory 7th February 2023

CVE ID: CVE-2023-0286

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-0286

Исходный отчет

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=2c6c9d439b484e1ba9830d8454a34fa4f80fdfe9

Краткое описание

Проект OpenSSL выпустил патч для закрытия ряда уязвимостей, в том числе критичной CVE-2023-0286.

Затронутые технологии

OpenSSL

Уязвимые продукты и версии

OpenSSL версий 3.0.0 - 3.0.7 включительно, 1.1.1 и 1.0.2.

Вендор

OpenSSL

Вектор атаки и уровень опасности согласно CVSS v.3.0

Base Score: 7.4 HIGH
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

Рекомендуется обновление OpenSSL до последних версий.

Безопасная версия уязвимого продукта или патч

Пользователи OpenSSL 3.0.0 - 3.0.7 должны обновиться до OpenSSL 3.0.8.
Пользователи OpenSSL 1.1.1 должны обновиться до OpenSSL 1.1.1t.
Пользователи OpenSSL 1.0.2 должны обновиться до OpenSSL 1.0.2zg.

Влияние на сервисы Yandex Cloud

Мы собрали и внедрили актуальные версии OpenSSL в используемые образы. Пользователям, использующим прошлые версии ОС из Yandex Cloud Marketplace с установленным OpenSSL версий 1.0.2, 1.1.1 и 3.0.0, рекомендуется самостоятельное обновление OpenSSL.

22.02.2023 — CVE-2022-3602, CVE-2022-3786 — OpenSSL Security release v.3.0.7

CVE ID: CVE-2022-3602, CVE-2022-3786.

Ссылки на CVE:

https://nvd.nist.gov/vuln/detail/CVE-2022-3602
https://nvd.nist.gov/vuln/detail/CVE-2022-3786

Исходный отчет

https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
https://www.openssl.org/news/secadv/20221101.txt

Краткое описание

Проект OpenSSL выпустил патч для закрытия критичных уязвимостей, связанных с переполнением буфера при проверке сертификата X.509. Уязвимости CVE-2022-3602 и CVE-2022-3786 исправлены в OpenSSL, начиная с версии 3.0.7.

Затронутые технологии

OpenSSL

Уязвимые продукты и версии

OpenSSL до версии 3.0.7.

Вендор

OpenSSL

Вектор атаки и уровень опасности согласно CVSS v.3.0

Base Score: 7.5 HIGH
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

При использовании OpenSSL рекомендуется обновление до версии 3.0.7 и старше.

Безопасная версия уязвимого продукта или патч

OpenSSL начиная с версии 3.0.7.

Влияние на сервисы Yandex Cloud

Мы собрали и внедрили актуальные версии OpenSSL в используемые образы. В облачных ресурсах среди загруженных модулей и установленных пакетов уязвимый компонент отсутствует.

Пользователям, использующим прошлые версии ОС из Cloud Marketplace с установленным OpenSSL версии до 3.0.7, рекомендуется самостоятельное обновление OpenSSL.

07.02.2023 — CVE-2022-3411, CVE-2022-4138, CVE-2022-3759, CVE-2023-0518, — GitLab Security Release: 15.8.1, 15.7.6, 15.6.7

CVE ID: CVE-2022-3411, CVE-2022-4138, CVE-2022-3759, CVE-2023-0518.

Ссылки на CVE:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3411
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4138
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3759
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0518

Исходный отчет

https://about.gitlab.com/releases/2023/01/31/security-release-gitlab-15-8-1-released/#denial-of-service-via-arbitrarily-large-issue-descriptions

Краткое описание

Множественные уязвимости. Полный список: https://about.gitlab.com/releases/2023/01/31/security-release-gitlab-15-8-1-released/.

Затронутые технологии

GitLab

Уязвимые продукты и версии

GitLab CE/EE до 15.8.1, 15.7.6 и 15.6.7.

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

6.5-4.3

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://about.gitlab.com/releases/2023/01/31/security-release-gitlab-15-8-1-released/

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версиях 15.8.1, 15.7.6 и 15.6.7.

Влияние на сервисы Yandex Cloud

Для удобства пользователей сервиса Managed Service for GitLab, мы уже обновили существующие и будущие инстансы до актуальной версии. Если вы используете образ на VM, рекомендуется обновить его самостоятельно.

02.02.2022 — CVE-2022-41903 and CVE-2022-23521 — GitLab Critical Security Release: 15.7.5, 15.6.6, 15.5.9

CVE ID: CVE-2022-41903 and CVE-2022-23521

Ссылки на CVE:

https://nvd.nist.gov/vuln/detail/CVE-2022-41903
https://nvd.nist.gov/vuln/detail/CVE-2022-23521

Исходный отчет

https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq
https://github.com/git/git/security/advisories/GHSA-c738-c5qq-xg89

Краткое описание

Множественные уязвимости. Полный список: https://about.gitlab.com/releases/2023/01/17/critical-security-release-gitlab-15-7-5-released/.

Затронутые технологии

GitLab

Уязвимые продукты и версии

GitLab CE/EE до 15.7.5, 15.6.6 и 15.5.9.

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

Уровень опасности: 9.9.

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq
https://github.com/git/git/security/advisories/GHSA-c738-c5qq-xg89

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версиях 15.7.5, 15.6.6 и 15.5.9.

Влияние на сервисы Yandex Cloud

Для удобства пользователей сервиса Managed Service for GitLab, мы уже обновили существующие и будущие инстансы до актуальной версии. Если вы используете образ на VM, рекомендуется обновить его самостоятельно.

26.12.2022 — CVE-2022-47940 — KSMBD FS/KSMBD/SMB2PDU.C SMB2_WRITE

CVE ID: CVE-2022-47940

Ссылка на CVE: https://ubuntu.com/security/CVE-2022-47940

Исходный отчет

https://ubuntu.com/security/CVE-2022-47940

Краткое описание

Если инсталляция использует версию ядра Linux, которая содержит данную уязвимость, атакующие могут получить доступ к чувствительной информации. Атакующий должен аутентифицироваться, чтобы воспользоваться уязвимостью. Уязвимость использует недостатки обработки команд SMB2_WRITE. Из-за неправильной валидации пользовательских данных атакующий может считать данные за пределами разрешенного буфера и выполнить произвольный код в контексте ядра, воспользовавшись данной уязвимостью и другими.

Уязвимость появляется при запуске сервиса ksmbd из пакета ksmbd-tools.

Затронутые технологии

Ядро Linux.

Уязвимые продукты и версии

Linux Kernel до 5.18.17
ksmbd-tools

Вендор

ksmbd-tools

Вектор атаки и уровень опасности согласно CVSS v.3.0

4.1

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=158a66b245739e15858de42c0ba60fcf3de9b8e6

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версии Linux Kernel 5.18.18.

Влияние на сервисы Yandex Cloud

В облачных ресурсах среди загруженных модулей и установленных пакетов данный компонент отсутствует.

Если вы используете в Yandex Compute Cloud образы из Marketplace, их необходимо обновить до безопасной версии самостоятельно.

06.12.2022 — CVE-2022-28228 — Out-of-bounds reads in YDB servers

Обновлено 08.12.2022

Сообщил об уязвимости: Max Arnold arnold.maxim@yandex.ru

CVE ID: CVE-2022-28228

Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28228

Исходный отчет

https://ydb.tech/docs/ru//security-changelog#28-11-2022

Краткое описание

Злоумышленник может составить специальный запрос, чтобы инициировать ошибку. В сообщение об ошибке могут попасть фрагменты данных другого кластера. Также злоумышленник может вызвать отказ в обслуживании кластера.

Затронутые технологии

Yandex Managed Service for YDB в serverless-режиме.

Уязвимые продукты и версии

Уязвимы все версии до 22.4.44.

В версии 22.4.44 уязвимость устранена.

Вендор

Yandex

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28228

Безопасная версия уязвимого продукта или патч

Любая версия от 22.4.44 и старше.

Компенсационные меры для пользователей Yandex Cloud

Все работы выполнены сервисом, дополнительные действия не требуются.

Влияние на сервисы Yandex Cloud

Уязвимость распространялась только на сервис Yandex Managed Service for YDB в serverless-режиме. На текущий момент уязвимость закрыта: все экземпляры YDB обновлены до безопасной версии.

03.11.2022 — CVE-2022-42889 — Text4Shell

CVE ID: CVE-2022-42889

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2022-42889

Исходный отчет

https://nvd.nist.gov/vuln/detail/CVE-2022-42889

Краткое описание

Уязвимость обнаружена в нескольких версиях библиотеки Apache Commons Text. Приложения, которые используют параметры интерполяции строк по умолчанию, могут оказаться уязвимыми для удаленного выполнения кода или непредусмотренного взаимодействия с удаленными серверами.

Затронутые технологии

Apache Commons Text

Уязвимые продукты и версии

Уязвимы все версии от 1.5 до 1.9.

В версии 1.10.0 уязвимость устранена.

Вендор

Apache Software Foundation

Вектор атаки и уровень опасности согласно CVSS v.3.0

Уровень опасности: 9.8_Critical.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.

Рекомендации по обнаружению уязвимости и дополнительные материалы

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версии 1.10.0.

Влияние на сервисы Yandex Cloud

В сервисах Yandex Cloud, которые используют библиотеку, она обновлена до безопасной версии.

01.09.2022 — CVE-2022-2992 — GitLab Critical Security Release: 15.3.2, 15.2.4, 15.1.6

CVE ID: CVE-2022-2992

Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2992

Исходный отчет

https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/

Краткое описание

Множественные уязвимости. Полный список: https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/.

Затронутые технологии

GitLab

Уязвимые продукты и версии

Уязвимы все версии GitLab CE/EE до 15.3.2, 15.2.4 и 15.1.6.

В версиях 15.3.2, 15.2.4 и 15.1.6 уязвимость устранена.

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

Уровень опасности: 9.9.

AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версиях 15.3.2, 15.2.4 и 15.1.6.

Компенсационные меры для пользователей Yandex Cloud

https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/

Влияние на сервисы Yandex Cloud

Уязвимость влияет на пользователей сервиса Managed Service for GitLab и образов GitLab из Cloud Marketplace.

Все образы GitLab в Managed Service for GitLab и Cloud Marketplace обновляются до безопасных версий.

31.08.2022 — CVE-2020-8561 — Перенаправление запросов сервера Kubernetes API

CVE ID: CVE-2020-8561

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2020-8561

Исходный отчет

https://groups.google.com/g/kubernetes-security-announce/c/RV2IhwcrQsY

Краткое описание

В Kubernetes пользователь, который контролирует ответы на запросы MutatingWebhookConfiguration или ValidatingWebhookConfiguration, может перенаправить запросы kube-apiserver в частные сети, к которым подключен сервер API. Если уровень логирования — 10, то в логи попадают ответы из частной сети.

Затронутые технологии

Kubernetes

Уязвимые продукты и версии

Все версии Kubernetes.

Вендор

Kubernetes

Вектор атаки и уровень опасности согласно CVSS v.3.0

Уровень опасности: 4.1.

AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://groups.google.com/g/kubernetes-security-announce/c/RV2IhwcrQsY

Безопасная версия уязвимого продукта или патч

Нет патчей или безопасных версий.

Компенсационные меры для пользователей Yandex Cloud

https://groups.google.com/g/kubernetes-security-announce/c/RV2IhwcrQsY

Закройте доступ kube-apiserver к ресурсам с чувствительной информацией.

Так же вы можете задать значение меньше 10 для флага -v и false для флага --profiling (значение по умолчанию — true). Webhook-запросы смогут перенаправляться в частные сети, но с уровнем логирования меньше 10 тело ответа не попадает в логи. Пользователи не смогут изменить уровень логирования kube-apiserver.

Влияние на сервисы Yandex Cloud

Влияние отсутствует. API-сервер в Yandex Managed Service for Kubernetes изолирован от сервисного интерфейса. Сервер работает от имени отдельного пользователя, который изолирован локальным межсетевым экраном.

25.08.2022 — CVE-2022-2884 — Удаленное выполнение команды через импорт GitHub в GitLab

Обновлено 01.09.2022

CVE ID: CVE-2022-2884

Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2884

Исходный отчет

https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/

Краткое описание

Уязвимость в GitLab CE/EE позволяет аутентифицированному пользователю удаленно выполнить код через импорт от эндпоинта API GitHub.

Затронутые технологии

GitLab

Уязвимые продукты и версии

Уязвимы следующие версии GitLab CE/EE:

  • с 11.3.4 до 15.1.5;
  • с 15.2 до 15.2.3;
  • с 15.3 до 15.3.1.

В версиях 15.1.5, 15.2.3 и 15.3.1 уязвимость устранена.

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

Уровень опасности: 9.9.

AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H.

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версиях GitLab CE/EE 15.1.5, 15.2.3 и 15.3.1.

Компенсационные меры для пользователей Yandex Cloud

Отключите импорт из GitHub в GitLab:

  1. Войдите в аккаунт администратора вашей инсталляции GitLab.
  2. Нажмите MenuAdmin.
  3. Нажмите SettingsGeneral.
  4. Откройте раздел Visibility and access controls.
  5. В блоке Import sources отключите опцию GitHub.
  6. Нажмите Save changes.

Влияние на сервисы Yandex Cloud

Уязвимость не влияет на пользователей Yandex Cloud. Версии GitLab в Managed Service for GitLab и Cloud Marketplace обновлены до безопасной версии.

04.07.2022 — CVE-2022-27228 — Уязвимость модуля «vote» CMS 1С-Битрикс

CVE ID: CVE-2022-27228

Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2022-27228

Исходный отчет

https://bdu.fstec.ru/vul/2022-01141
https://helpdesk.bitrix24.com/open/15536776/

Краткое описание

Уязвимость модуля «vote» системы управления содержимым сайтов (CMS) 1С-Битрикс: управление сайтом связано с возможностью отправки специально сформированных сетевых пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольные файлы в уязвимую систему.

Затронутые технологии

Bitrix CMS

Уязвимые продукты и версии

Все версии до 21.0.100.

Вендор

1С-Битрикс

Вектор атаки и уровень опасности согласно CVSS v.3.0

Уровень опасности: 9,8

Рекомендации по обнаружению уязвимости и дополнительные материалы

Запросы к /bitrix/tools/composite_data.php, /bitrix/tools/html_editor_action.php, /bitrix/admin/index.php, /bitrix/tools/vote/uf.php.

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версии 21.0.100 модуля «vote».
https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=vote

Компенсационные меры для пользователей Yandex Cloud

Дополнительная валидация входных данных для модуля «vote», в том числе средствами WAF.

Влияние на сервисы Yandex Cloud

Влияние на сервисы Yandex Cloud отсутствует.

22.06.2022 — CVE-2022-1680 — Захват аккаунта GitLab, критическая уязвимость

CVE ID: CVE-2022-1680

Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1680

Исходный отчет

https://about.gitlab.com/releases/2022/06/01/critical-security-release-gitlab-15-0-1-released/

Краткое описание

Если для премиум-группы в GitLab используются SAML SSO и SCIM, владелец группы может пригласить произвольного пользователя в группу, заменить через SCIM адрес электронной почты пользователя и таким образом захватить аккаунт пользователя (если не используется двухфакторная аутентификация).

Затронутые технологии

Gitlab

Уязвимые продукты и версии

Уязвимы следующие версии GitLab Enterprise Edition (EE):

  • от 11.10 до 14.9.5;
  • от 14.10 до 14.10.4;
  • от 15.0 до 15.0.1.

В версиях 15.0.1, 14.10.4 и 14.9.5 уязвимость устранена.

Вендор

GitLab Inc.

Вектор атаки и уровень опасности согласно CVSS v.3.0

Уровень опасности: 9.9

Рекомендации по обнаружению уязвимости и дополнительные материалы

Если вы используете собственную инсталляцию GitLab, проверьте, включена ли group_saml https://docs.gitlab.com/ee/integration/saml.html#configuring-group-saml-on-a-self-managed-gitlab-instance.

Безопасная версия уязвимого продукта или патч

Уязвимость устранена в версиях: 15.0.1, 14.10.4 и 14.9.5.

Компенсационные меры для пользователей Yandex Cloud

Yandex Compute Cloud

Образы GitLab для Yandex Compute Cloud в Yandex Cloud Marketplace обновлены до безопасной версии.

Пользователи Yandex Compute Cloud, которые используют устаревшие образы GitLab из Yandex Cloud Marketplace или собственные инсталляции устаревших версий, могут быть подвержены уязвимости.

Обновитесь до последней версии.

Yandex Managed Service for GitLab

Для пользователей Yandex Managed Service for GitLab (находится на стадии preview) версия GitLab обновлена до безопасной.

Дополнительных действий от пользователей не требуется.

15.06.2022 — CVE-2021-25748 — Ingress-nginx. Обход фильтрации в path

CVE ID: CVE-2021-25748

Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25748

Исходный отчет

https://discuss.kubernetes.io/t/security-advisory-cve-2021-25748-ingress-nginx-path-sanitization-can-be-bypassed-with-newline-character/20280

Краткое описание

Пользователь может обойти фильтрацию в поле spec.rules[].http.paths[].path объекта ingress (в группе API networking.k8s.io или extensions), использовав в значении поля символ новой строки, и получить реквизиты доступа контроллера ingress-nginx. В конфигурации по умолчанию с этими реквизитами можно получить доступ ко всем секретам кластера.

Затронутые технологии

  • Kubernetes
  • Nginx

Уязвимые продукты и версии

ingress-nginx < v1.2.1

Вендор

NGINX ingress controller

Вектор атаки и уровень опасности согласно CVSS v.3.0

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L

Рекомендации по обнаружению уязвимости и дополнительные материалы

https://discuss.kubernetes.io/t/security-advisory-cve-2021-25748-ingress-nginx-path-sanitization-can-be-bypassed-with-newline-character/20280

Безопасная версия уязвимого продукта или патч

ingress-nginx v1.2.1

Компенсационные меры для пользователей Yandex Cloud

Если вы используете контроллер ingress-nginx в Yandex Managed Service for Kubernetes или собственную инсталляцию Kubernetes и не можете обновиться до безопасной версии, используйте политику, которая ограничивает поле spec.rules[].http.paths[].path ресурса networking.k8s.io/Ingress только безопасными символами (новые правила и предлагаемые значения для annotation-value-word-blocklist).

Влияние на сервисы Yandex Cloud

Влияние на сервисы Yandex Cloud отсутствует, так как в инфраструктуре не используется ingress-nginx. Вместо него используется alb-ingress controller.

29.04.2022 — CVE-2022-24735 и CVE-2022-24736 — Redis

Описание

CVE-2022-24735

Уязвимость CVE-2022-24735 позволяет эксплуатировать слабости в процессе выполнения Lua-скриптов. Злоумышленник, который имеет доступ к Redis версий до 7.0.0 и 6.2.7, может вставить код на языке Lua, который выполнится с высокими привилегиями другого пользователя.

Подробное описание уязвимости представлено в статье.
Описание уязвимости: CVE-2022-24735.
CVSS рейтинг: 3.9 LOW.

CVE-2022-24736

Уязвимость CVE-2022-24736 позволяет злоумышленнику вызвать отказ в обслуживании Redis версий до 7.0.0 и 6.2.7 путем загрузки зловредного Lua-скрипта.

Подробное описание уязвимости представлено в статье.
Описание уязвимости: CVE-2022-24736.
CVSS рейтинг: 3.3 LOW.

Влияние

Общее влияние

Влиянию подвержены все базы данных Redis с версиями до 7.0.0 и 6.2.7.

Влияние на сервисы Yandex Cloud

В сервисе Managed Service for Redis используются следующие версии Redis: 5.0, 6.0, 6.2.

В настоящее время принимаются меры по компенсации уязвимости в сервисах Yandex Cloud:

  • Для версии 6.2 ведется работа по обновлению до актуальной исправленной версии 6.2.7. Обновление пройдет в штатном режиме согласно настройкам кластера.
  • Для версий 6.0 и 5.0 вендор не выпускал обновлений, пользователям необходимо самостоятельно обновиться до версии 6.2, чтобы получить обновление до версии 6.2.7 в штатном режиме.

Компенсационные меры

Если вы используете Redis версий 6.0 или 5.0 в составе Managed Service for Redis, срочно обновитесь до версии 6.2.

Если вы используете собственную инсталляцию Redis, обновитесь до версии 6.2.7 либо 7.0.0. Если обновление в текущий момент невозможно, используйте workaround от вендора.

06.04.2022 — CVE-2022-1162 — GitLab Critical Security Release

Описание

Компания Gitlab опубликовала информацию о наборе уязвимостей в статье.

Уязвимость была обнаружена внутри компании и получила идентификатор CVE-2022-1162. Уязвимость затрагивает как GitLab Community Edition (CE), так и Enterprise Edition (EE):

  • все версии до 14.7.7 включительно;
  • все версии от 14.8 до 14.8.5 включительно;
  • все версии от 14.9 до 14.9.2 включительно.

Уязвимость связана с тем, что статические пароли были случайно установлены во время регистрации на основе OmniAuth в GitLab CE/EE.
Это внеочередной релиз, который в том числе является месячным релизом за март.

GitLab подготовил скрипт, который может быть использован для идентификации пользовательских аккаунтов, потенциально подверженных CVE-2022-1162.

Влияние на сервисы Yandex Cloud

Yandex Compute Cloud

Образ GitLab для Yandex Compute Cloud в Yandex Cloud Marketplace был обновлен до актуальной версии.

Уязвимости потенциально подвержены все пользователи Yandex Compute Cloud, которые используют устаревшие образы GitLab из Yandex Cloud Marketplace либо собственные образы устаревших версий. Таким пользователям необходимо выполнить переустановку системы из актуального образа маркетплейс либо обновление версии GitLab до актуальной.

Со стороны Yandex Cloud были отправлены оповещения всем пользователям, которые используют устаревший образ GitLab.

Yandex Managed Service for GitLab

Для пользователей Yandex Managed Service for GitLab, которые находятся в тестовом режиме в облаке Yandex Cloud, мы уже обновили существующие и будущие инстансы до актуальной версии.

Со стороны Yandex Cloud были отправлены оповещения всем пользователям, которые используют Yandex Managed Service for GitLab.

Компенсационные меры

Уязвимости потенциально подвержены все пользователи, которые используют собственные образы GitLab устаревших версий. Таким пользователям необходимо выполнить обновление версии GitLab до актуальной.

18.03.2022 — CVE-2022-0811 — cr8escape

Описание

Исследователи компании CrowdStrike обнаружили уязвимость в контейнерном движке CRI-O, который может использоваться в Kubernetes. Уязвимость позволяет злоумышленнику, который имеет возможность запускать поды, выбраться из контейнера, получить привилегии пользователя root и развить атаку на остальной кластер.

Уязвимость заключается в том, что начиная с версии CRI-O 1.19 можно переопределить системные параметры sysctl и, в частности, использовать kernel.core_pattern для выхода из контейнера.

Ссылка на CVE: CVE-2022-0811.

Исходный отчет

https://www.crowdstrike.com/blog/cr8escape-new-vulnerability-discovered-in-cri-o-container-engine-cve-2022-0811/

Влияние на сервисы Yandex Cloud

Влияние отсутствует, так как в сервисе Managed Service for Kubernetes движок CRI-O недоступен для использования.

Компенсационные меры

Если вы используете Kubernetes не в составе сервиса Managed Service for Kubernetes, а в виде собственной «bare metal» инсталляции:

  • обновите CRI-O до версии 1.23.2;

  • если для вашей операционной системы отсутствует патч с обновлением, откатите CRI-O до версии 1.18 или ниже;

  • если в настоящее время вы не можете изменить версию CRI-O:

    1. примените политику, которая блокирует "+" или "=" в значениях sysctl;
    2. PodSecurityPolicy forbiddenSysctls чтобы заблокировать все sysctl.

09.03.2022 — CVE-2022-0847 — Dirty Pipe

Обновлено 17.03.2022

Описание

Исследователь кибербезопасности Макс Келлерман обнаружил уязвимость в Linux, которая позволяет злоумышленнику перезаписывать данные в произвольных файлах, предназначенных только для чтения. Уязвимость назвали Dirty Pipe под кодом CVE-2022-0847. Она актуальна для ядра Linux, начиная с версии 5.8 (2020 год). Уязвимость сохранялась до февраля 2022 года, когда была устранена в версиях 5.16.11, 5.15.25 и 5.10.102.

Отмечается, что по уровню опасности Dirty Pipe находится на одном уровне с Dirty COW (другой опасной уязвимостью, выявленной в 2016 году), но значительно проще в эксплуатации.

Исходный отчёт: статья.

Описание уязвимости: CVE-2022-0847.

Влияние на сервисы Yandex Cloud

Уязвимость не влияет на инфраструктуру Yandex Cloud, так как в инфраструктурных сервисах используются версии ядра, отличные от тех, которые подвержены уязвимости.

Однако уязвимости были подвержены несколько образов виртуальных машин из Cloud Marketplace:

  • yc/ubuntu-20-04-lts-gpu
  • yc/ubuntu-20-04-lts-gpu-a100

Компенсационные меры

Образы ВМ, которые подвержены уязвимости, были удалены из Cloud Marketplace. Вместо удаленных образов в Cloud Marketplace размещены актуальные обновленные образы, которые не подвержены уязвимости.

Если вы используете собственный образ ВМ либо устаревший образ из Marketplace, который подвержен уязвимости, выполните обновление согласно официальной документации, например для Ubuntu.

28.02.2022 — CVE-2022-0735 (token disclosure), CVE-2022-0549, CVE-2022-0751, CVE-2022-0741, CVE-2021-4191, CVE-2022-0738, CVE-2022-0489 — Множественные уязвимости GitLab

Описание

Компания GitLab Inc опубликовала информацию о наборе уязвимостей в статье.

CVE-2022-0735

Наиболее критичная уязвимость из набора – CVE-2022-0735 «Runner registration token disclosure through Quick Actions» (Раскрытие регистрационного токена раннера через механизм «Quick Actions»).

Распространяется на следующие версии:

  • все версии от 12.10 до 14.6.5 включительно;
  • все версии от 14.7 до 14.7.4 включительно;
  • все версии от 14.8 до 14.8.2 включительно.

Остальные уязвимости из набора менее опасны.

CVE-2022-0549

CVE-2022-0549 «Unprivileged users can add other users to groups through an API endpoint» имеет средний уровень критичности.

Распространяется на следующие версии:

  • все версии от 14.4 до 14.4.4 включительно;
  • все версии от 14.5 до 14.5.2 включительно.

CVE-2022-0751

CVE-2022-0751 «Inaccurate display of Snippet contents can be potentially misleading to users» имеет средний уровень критичности.

CVE-2022-0741

CVE-2022-0741 «Environment variables can be leaked via the sendmail delivery method» имеет средний уровень критичности.

CVE-2021-4191

CVE-2021-4191 «Unauthenticated user enumeration on GraphQL API» имеет средний уровень критичности и распространяется на все версии от 14.4 до 14.8 включительно.

CVE-2022-0738

CVE-2022-0738 «Adding a pull mirror with SSH credentials can leak password» имеет средний уровень критичности.

Распространяется на следующие версии:

  • все версии от 14.6 до 14.6.5 включительно;
  • все версии от 14.7 до 14.7.4 включительно;
  • все версии от 14.8 до 14.8.2 включительно.

CVE-2022-0489

CVE-2022-0489 «Denial of Service via user comments» имеет низкий уровень критичности и распространяется на все версии от 8.15.

Ссылки на CVE:

Исходный отчет

Подробное описание уязвимости представлено в исходном отчёте GitLab.

Влияние на сервисы Yandex Cloud

Yandex Compute Cloud

Образ GitLab для Yandex Compute Cloud в Yandex Cloud Marketplace был обновлен до актуальной версии.

Уязвимости потенциально подвержены все пользователи Yandex Compute Cloud, которые использовали образы GitLab из Cloud Marketplace либо собственные образы. Таким пользователям необходимо выполнить переустановку системы из актуального образа Cloud Marketplace либо обновление версии GitLab до актуальной согласно официальной инструкции.
Если в настоящее время вы не можете выполнить обновление версии GitLab, примените компенсационные меры.

Всем пользователям, которые используют устаревший образ GitLab из Cloud Marketplace, отправлены оповещения с рекомендациями по обновлению.

Yandex Managed Service for GitLab

Для пользователей сервиса Managed Service for GitLab, который находится в тестовом режиме в Yandex Cloud, мы уже обновили существующие и будущие инстансы до актуальной версии.

Всем пользователям, которые используют Yandex Managed Service for GitLab, отправлены оповещения.

Компенсационные меры

Если в настоящее время вы не можете выполнить обновление, то возможно временно закрыть уязвимость с помощью hotpatch.

28.01.2022 — CVE-2022-0185 — Heap overflow bug in legacy_parse_param

Описание

Уязвимость CVE-2022-0185 содержится в версиях ядра Linux, начиная с 5.1-rc1, в системе контекста файловой системы. Злоумышленник может использовать уязвимость, чтобы вызвать отказ в обслуживании (сбой системы), выполнить произвольный код и выйти за пределы контейнера.

Подробное описание уязвимости представлено в статье.

Описание уязвимости CVE-2022-0185.

CVSS рейтинг: 7.8.

Влияние

Общее влияние

Влиянию подвержены Linux Kernel-системы по всему миру, начиная с версии ядра 5.1-rc1 до версии 5.16.

Влияние на сервисы Yandex Cloud

Со стороны облака были выполнены обновления в сервисах Yandex Cloud:

  • Yandex Cloud Marketplace;
  • во внутренней инфраструктуре Yandex Cloud.

Готовим обновления в сервисе Yandex Managed Service for Kubernetes.

Компенсационные меры

Если вы используете облачную группы узлов в сервисе Yandex Managed Service for Kubernetes, дождитесь официального обновления со стороны сервиса и примените его. Либо самостоятельно выполните обновление ОС.

Также существуют компенсирующие меры:

  • Используйте подготовленный для данной уязвимости daemonset fix из Yc-solution-library-for-security, который устанавливает настройки в соответствии с рекомендациями Ubuntu.
  • Используйте официальные советы по обновлению либо по компенсации уязвимости для вашего дистрибутива Linux, например для Ubuntu установите параметр: sysctl -w kernel.unprivileged_userns_clone=0.
  • Используйте seccomp в Kubernetes согласно статье.
  • Не назначайте избыточных capabilities и используйте раздел по безопасности k8s из нашего чек-листа для контроля за ними.

28.01.2022 — CVE-2021-4034 – Polkit's pkexec

Описание

Уязвимость CVE-2021-4034 содержится во всех версиях Unix-подобных ОС. Инструмент PolicyKit pkexec неправильно обрабатывает аргументы командной строки. Злоумышленник может использовать это поведение pkexec для повышения привилегий до уровня администратора.

Подробное описание уязвимости представлено в статье.

Описание уязвимости CVE-2021-4034.

CVSS рейтинг: 7.8.

Влияние

Общее влияние

Влиянию подвержены все Unix-подобные ОС, использующие policykit-1 (0.105) версий ниже, чем указаны в статье, например для Ubuntu.

Влияние на сервисы Yandex Cloud

Со стороны облака были выполнены обновления в сервисах Yandex Cloud:

  • Yandex Cloud Marketplace;
  • во внутренней инфраструктуре Yandex Cloud.

Готовим обновления в сервисе Yandex Managed Service for Kubernetes.

Компенсационные меры

Если вы используете облачную группу узлов в сервисе Yandex Managed Service for Kubernetes, дождитесь официального обновления со стороны сервиса и примените его. Либо самостоятельно выполните обновление ОС.

Также существуют компенсирующие меры:

  • Используйте подготовленный для данной уязвимости daemonset fix из Yc-solution-library-for-security, который устанавливает настройки в соответствии с рекомендациями Ubuntu.

  • Для образов из Yandex Cloud Marketplace либо собственных образов в Yandex Compute Cloud используйте официальные советы по обновлению либо по компенсации уязвимости, например для Ubuntu установите права доступа: chmod 0755 /usr/bin/pkexec.

29.12.2021 — CVE-2021-45105, CVE-2021-44832 — Отказ в обслуживании и удаленное выполнение кода (Log4j)

Описание

Уязвимость CVE-2021-45105 содержится в библиотеке Apache Log4j, в версиях от 2.0-alpha до 2.16.0 включительно, исключая версию 2.12.3. Версии не защищены от неконтролируемой рекурсии из самореференциальных запросов, эксплуатация уязвимости может привести к ошибке StackOverflowError и отказу в обслуживании (DoS).

Уязвимость CVE-2021-44832 содержится в библиотеке Apache Log4j, в версиях от 2.0-beta7до 2.17.0 включительно, исключая fix releases 2.3.2 and 2.12.4. Версии уязвимы к выполнению удаленных команд (RCE) для злоумышленника с правами на изменение файла конфигурации логирования.

Исходный отчёт от logging.apache.org.

Описание уязвимостей CVE-2021-45105, CVE-2021-44832.

CVSS рейтинг:

  • CVE-2021-45105 5.9 (AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)
  • CVE-2021-44832 6.6 (AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H)

Влияние

Общее влияние

Библиотека Log4j включена в почти все enterprise-решения Apache Software Foundation, такие как: Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и т.д.

С полным списком ПО, подверженного уязвимости, можно ознакомиться на следующих ресурсах:

  • https://github.com/NCSC-NL/log4shell/tree/main/software
  • https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Влияние на сервисы Yandex Cloud

Версии библиотеки, подверженные уязвимости, не используются в сервисах Yandex Cloud.

Компенсационные меры

Если в вашей инфраструктуре используется данная библиотека или продукты, которые упомянуты в разделе «Общее влияние», выполните следующие действия.

Log4j 1.x

Log4j 1.x не подвержена уязвимости.

Log4j 2.x

  • Java 6 – обновите Log4j до версии 2.3.2.
  • Java 7 – обновите Log4j до версии 2.12.4.
  • Java 8 (или старше) – обновите Log4j до версии 2.17.1.
  • Если в настоящее время вы не можете выполнить обновление библиотеки, убедитесь, что JDBC Appender использует только протокол Java.

Обратите внимание, что этой уязвимости подвержен только файл JAR log4j-core. Приложения, использующие только файл JAR log4j-api без файла JAR log4j-core, не подвержены этой уязвимости.

Также обратите внимание, что Apache Log4j - единственный подпроект Logging Services, подверженный этой уязвимости. На другие проекты, такие как Log4net и Log4cxx, эта уязвимость не влияет.

Источник: https://logging.apache.org/log4j/2.x/security.html

Дополнительные утилиты для проверки присутствия уязвимости log4j в вашей инфраструктуре:

  • https://github.com/google/log4jscanner
  • https://github.com/bi-zone/Log4j_Detector

17.12.2021 — CVE-2021-45046 – Удаленное выполнение кода (Log4j)

Описание

Уязвимость CVE-2021-45046 содержится в библиотеке Apache Log4j, в версиях от 2.0-beta9 до 2.15.0 включительно, исключая версию 2.12.2.

Было обнаружено, что исправление для уязвимости CVE-2021-44228 в Apache Log4j 2.15.0 было недостаточным для некоторых нестандартных конфигураций. Уязвимость позволяет злоумышленникам создание вредоносных входных данных с использованием шаблона поиска JNDI, что может приводить к утечке данных, удаленному и локальному выполнению кода.

Подробное описание эксплойта и поведения представлено в материале Lunasec.

Исходный отчёт от logging.apache.org.

Описание уязвимости CVE-2021-45046.

CVSSv3.1 рейтинг: 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)

Влияние

Общее влияние

Библиотека Log4j включена в почти все enterprise-решения Apache Software Foundation, такие как: Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и т.д.

С полным списком ПО, подверженного уязвимости, можно ознакомиться на следующих ресурсах:

  • https://github.com/NCSC-NL/log4shell/tree/main/software
  • https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Влияние на сервисы Yandex Cloud

Сервисы, которые использовали библиотеку Yandex Managed Service for Elasticsearch, Yandex Data Processing, а также ряд базовых сервисов платформы были успешно обновлены.

Со стороны Yandex Cloud была собрана информация о пользователях, которые использовали подобные сервисы. Им были отправлены оповещения.

Компенсационные меры

Если в вашей инфраструктуре используется данная библиотека или продукты, которые упомянуты в разделе «Общее влияние», выполните следующие действия.

Log4j 1.x

Log4j 1.x не подвержена уязвимости.

Log4j 2.x

  • Java 8 (или старше) – обновите Log4j до версии 2.16.0.
  • Java 7 – обновите Log4j до версии 2.12.2.
  • Если в настоящее время вы не можете выполнить обновление библиотеки, удалите класс JndiLookup из classpath zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

Рекомендуется не включать JNDI в Log4j 2.16.0. Если вам требуется JMS Appender, используйте Log4j 2.12.2.

Обратите внимание, что уязвимости подвержен только файл log4j-core JAR. Приложения, которые используют файл log4j-api JAR без файла log4j-core JAR, не подвережны уязвимости.

Источник: https://logging.apache.org/log4j/2.x/security.html

10.12.2021 — CVE-2021-44228 – Удаленное выполнение кода (Log4Shell, Apache Log4j)

Обновлено 22.12.2021

Описание

Уязвимость CVE-2021-44228 содержится в библиотеке Apache Log4j, в версиях от 2.14.1 и ниже.

Был обнаружен эксплойт нулевого дня, который приводит к удаленному выполнению кода (RCE) путем записи в журнал определенной строки.

Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена функция message lookup substitution. Начиная с версии log4j 2.15.0, это поведение отключено по умолчанию.

Подробное описание эксплойта и поведения представлено в материале Lunasec.

Исходный отчёт от logging.apache.org: Fixed in Log4j 2.15.0.

Описание уязвимости: CVE-2021-44228.

CVSSv3.1 рейтинг: 10.0 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C)

Подробнее: https://www.securitylab.ru/vulnerability/527362.php

Влияние

Общее влияние

  1. Библиотека Log4j включена в почти все enterprise-решения Apache Software Foundation, такие как: Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и т.д.

  2. Уязвимость влияет на такие open-source продукты, как ElasticSearch, Elastic Logstash, the NSA’s Ghidra и т.д.

  3. Продукты Hystax подвержены уязвимости, так как используют уязвимую версию Elasticsearch Logstash.
    Hystax работает над выпуском новых версий продуктов, в которых будет устранена уязвимость.

Влияние на сервисы Yandex Cloud

Сервисы, которые использовали библиотеку Yandex Managed Service for Elasticsearch, Yandex Data Processing, а также ряд базовых сервисов платформы были успешно обновлены.

Со стороны Yandex Cloud была собрана информация о пользователях, которые использовали подобные сервисы. Им были отправлены оповещения.

Компенсационные меры

Если в вашей инфраструктуре используется данная библиотека или продукты, которые упомянуты в разделе «Общее влияние», выполните следующие действия.

Log4j 1.x

Log4j 1.x не поддерживает Lookups, поэтому в целом риск эксплуатации уязвимости для приложений, которые используют Log4j 1.x, низкий.

Приложения, которые используют Log4j 1.x, подвержены данной уязвимости только в случае, если используют JNDI. В этом случае убедитесь, что в вашей конфигурации не используется JMSAppender.

Log4j 2.x

  • Java 8 (или старше) – обновите Log4j до версии 2.16.0.
  • Java 7 – обновите Log4j до версии 2.12.2, как только эта версия станет доступна.
  • Если в настоящее время вы не можете выполнить обновление библиотеки, удалите класс JndiLookup из classpath zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

Обратите внимание, что уязвимости подвержен только файл log4j-core JAR. Приложения, которые используют файл log4j-api JAR без файла log4j-core JAR, не подвережны уязвимости.

Источник: https://logging.apache.org/log4j/2.x/security.html

Hystax

Hystax Acura Controller: для UDP-порта 12201 в направлении ingress разрешите трафик только для списка IP-адресов источника, которые принадлежат агентам репликации.

Если в вашей инфраструктуре Hystax Acura Controller установлен за балансировщиком нагрузки, примените указанное выше правило фаервола на соответствующий балансировщик.

12.11.2021 — CVE-2021-22205 — удаленное выполнение кода через уязвимость в GitLab

Описание

В GitLab версии 11.9 и выше обнаружена уязвимость, которая позволяет удаленно выполнять произвольные команды. Атака может быть проведена через отправку двух запросов, не требующих прохождения аутентификации.

Уязвимость вызвана некорректной обработкой загружаемых изображений внешним парсером на базе библиотеки ExifTool (CVE-2021-22204).

Проблема была устранена в версиях GitLab 13.10.3, 13.9.6 и 13.8.8.

Влияние на сервисы Yandex Cloud

Образ GitLab в Yandex Cloud Marketplace обновлен до актуальной версии.

Всем пользователям, которые используют устаревший образ GitLab, отправлены оповещения с рекомендациями по обновлению.

Пользователи сервиса Yandex Managed Service for GitLab не были подвержены уязвимости, т.к. в рамках сервиса используется актуальная версия GitLab.

Компенсационные меры

Если вы используете устаревший образ GitLab из Yandex Cloud Marketplace, либо собственный образ, обновите его до актуальной версии. Если по каким-то причинам вы не можете обновить версию GitLab, используйте hotpatch.

Дополнительная информация

12.10.2021 – CVE-2021-25741 – Возможность получить доступ к файловой системе хоста

Описание

В Kubernetes обнаружена уязвимость, которая позволяет получить несанкционированный доступ к файловой системе ноды при авторизации пользователя в кластере.

Влияние на сервисы Yandex Cloud

Yandex Managed Service for Kubernetes не поддерживает анонимный доступ в кластер и не подвержен уязвимости со стороны внешнего нарушителя.

Компенсационные меры

Для устранения вектора атак со стороны внутреннего нарушителя обновите все существующие кластеры и группы узлов в сервисе до версии 1.19 или выше. Если ваши кластеры и группы узлов уже обновлены до версии 1.19 или выше, обновите ревизии. Обновление, которое закрывает уязвимости, доступно во всех релизных каналах.

Также рекомендуем:

  • Автоматически обновлять кластеры и группы узлов до последних версий или ревизий.
  • Планировать ручные обновления хотя бы раз в месяц, если вы не можете применять автоматические обновления.
  • Запретить запускать поды от имени пользователя root для недоверенных загрузок.

Для этого можно использовать следующие инструменты:

Дополнительная информация

Чеклист для безопасной конфигурации Kubernetes доступен по ссылке.

03.03.2021 — CVE-2021-21309 — удаленное выполнение кода через уязвимость в Redis

Описание

В 32-битной версии Redis версии 4.0 и выше обнаружена уязвимость типа integer overflow, которая при определенных условиях может привести к удаленному выполнению кода.

Влияние на сервисы Yandex Cloud

Yandex Managed Service for Redis использует 64-битную версию Redis и не подвержен уязвимости.

26.01.2021 — CVE-2021-3156 — повышение привилегий через уязвимости в sudo.

Описание

В приложении sudo был найден ряд уязвимостей CVE-2021-3156, которые позволяют непривилегированному пользователю системы повысить свои привилегии до пользователя root.

Влияние на сервисы Yandex Cloud

Были обновлены следующие образы операционных систем Linux:

  • все образы от издателя Yandex Cloud, доступные в Cloud Marketplace;
  • образ Container Optimized Image;
  • образ, который используется для создания узлов в сервисе Managed Service for Kubernetes;
  • образы, которые используются для создания кластеров управляемых баз данных;
  • образ, который используется для создания кластеров Yandex Data Processing.

Дополнительная информация

24.12.2020 — CVE-2020-25695 — повышение привилегий в PostgreSQL

Описание

В системе управления базами данных PostgreSQL была обнаружена уязвимость CVE-2020-25695, которая позволяет непривилегированному пользователю, при наличии у него прав на создание не временных объектов, выполнять произвольные SQL запросы от имени суперпользователя.

Влияние на сервисы Yandex Cloud

Все системы управления базами данных PostgreSQL, используемые в рамках сервиса Yandex Managed Service for PostgreSQL, были обновлены.

19.11.2020 — Отказ от устаревших TLS протоколов

Описание

Чтобы повысить безопасность передачи данных, Yandex Cloud рекомендует всем пользователям перейти на использование технологий, которые обеспечивают шифрование по протоколу TLS 1.2 и выше.

Влияние на сервисы Yandex Cloud

Все сервисы Yandex Cloud поддерживают TLS 1.2 и выше. Поддержка устаревших протоколов будет постепенно прекращена. Рекомендуем заранее переключить существующие приложения на использование актуальных версий TLS.

20.09.2020 — CVE-2020-1472 (aka Zerologon)

Описание

Уязвимость в Windows Netlogon Remote Protocol позволяет неаутентифицированному атакующему с сетевым доступом к контроллеру домена скомпрометировать все службы идентификации Active Directory.

Исходный отчёт Secura: Zerologon.

Описание уязвимости, составленное Microsoft: CVE-2020-1472.

Руководство по управлению изменениями от Microsoft: Управление изменениями в подключениях безопасного канала Netlogon, связанными с CVE-2020-1472.

Влияние на сервисы Yandex Cloud

Образы операционных систем, доступные пользователям Yandex Compute Cloud, уже содержат обновления, устраняющие уязвимость. Все виртуальные машины, созданные в Yandex Compute Cloud после выхода этого сообщения, защищены от описанной атаки.

Компенсационные меры

В дополнение к обновлениям, для ограничения доступа к контроллеру домена из недоверенных сетей используйте следующие системы контроля доступа к сети:

  • Windows Firewall или группы безопасности;
  • перемещение контроллера домена за NAT-gateway.

15.06.2020 — Special Register Buffer Data Sampling Attack (aka CrossTalk)

Описание

Для некоторых моделей процессоров Intel компания VUSec обнаружила новую атаку под названием Special Register Buffer Data Sampling Attack (или CrossTalk). Данная атака позволяет злонамеренному процессу получить результаты, возвращаемые инструкциями RDRAND и RDSEED из другого процесса, при этом злонамеренный и легитимный процессы могут выполняться на разных физических ядрах процессора. Атаке присвоен номер CVE-2020-0543.

Отчет от Intel: Deep Dive: Special Register Buffer Data Sampling.

Влияние на сервисы Yandex Cloud

Модели процессоров, используемые в Yandex Cloud, не подвержены атаке CrossTalk.

28.08.2019 — TCP SACK

Описание

Специалисты Netflix обнаружили три уязвимости в ядре Linux:

Оригинальный отчёт от Netflix: NFLX-2019-001.

Разбор уязвимости от Red Hat: TCP SACK PANIC.

Влияние на сервисы Yandex Cloud

  • Инфраструктура Yandex Cloud была оперативно защищена и обновлена.
  • Образы операционных систем, доступные пользователям Yandex Compute Cloud, были обновлены как только появились соответствующие исправления. Таким образом, новые виртуальные машины, создаваемые в Yandex Compute Cloud, не подвержены указанным уязвимостям.

19.08.2019 — Несколько доменов Yandex Object Storage внесены в Public Suffix List

Описание

Список доменов, внесенных в Public Suffix List:

  • yandexcloud.net
  • storage.yandexcloud.net
  • website.yandexcloud.net

Домены из списка Public Suffix List получают свойства доменов верхнего уровня, как, например, домены .ru или .com:

  • Браузеры не будут сохранять cookie, установленные на перечисленные домены.
  • Браузеры не позволят поменять заголовок запроса Origin страницы на корневые домены.

Влияние на сервисы Yandex Cloud

Данные изменения позволят повысить безопасность пользователей Yandex Cloud.

Предыдущая
Политика поддержки пользователей при проведении проверки уязвимостей
Следующая
Диапазоны публичных IP-адресов