Бюллетени безопасности
- 06.03.2024 — CVE-2024-21626 Взлом runc process.cwd и утечка контейнера fds
- 05.07.2024 — CVE-2024-6387 RegreSSHion
- 06.03.2024 — CVE-2023-23919 Множественные ошибки OpenSSL при обработке задач в криптобиблиотеке node.js
- 06.03.2024 — CVE-2023-23946 Критически значимый для безопасности релиз GitLab, версии 15.8.2, 15.7.7 и 15.6.8
- 06.03.2024 — CVE-CVE-2023-22490 Критически значимый для безопасности релиз GitLab, версии 15.8.2, 15.7.7 и 15.6.8
- 28/12/2023: CVE-2023-44487 DDoS-атака быстрого сброса HTTP/2
- 28/12/2023: Уязвимость Reptar в Ice Lake (IPU Out-of-Band)
- 28/12/2023: CVE-2023-46850 Патч безопасности OpenVPN вер. 2.6.7
- Исходный отчет
- Краткое описание
- Затронутые технологии
- Уязвимые продукты и версии
- Базовый вектор атаки и уровень опасности уязвимости согласно CVSS v.3.0
- Процедура проверки уязвимости и дополнительные материалы (PoC-код, видеодемонстрация и т.д.)
- Безопасная версия уязвимого продукта или патч
- Затрагиваются ли облачные сервисы?
- 3.11.2023 — CVE-2023-5043 Nginx ingress controller for Kubernetes vulnerabilities
- 26.10.2023 — CVE-2023-3484 Обновление системы безопасности GitLab Security Release: 16.1.2, 16.0.7 и 15.11.11
- 26.10.2023 — CVE-2023-3424 - CVE-2023-1936 Обновление системы безопасности GitLab Security Release: 16.1.1, 16.0.6 и 15.11.10
- 26.10.2023 — CVE-2023-2442 - CVE-2023-2013 Обновление системы безопасности GitLab Security Release: 16.0.2, 15.11.7 и 15.10.8
- 16.10.2023 — BDU-2023-05857 Уязвимость модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс
- Исходный отчет
- Краткое описание
- Затронутые технологии
- Уязвимые продукты и версии
- Вендор
- Вектор атаки и уровень опасности согласно CVSS v.3.0
- Рекомендации по обнаружению уязвимости и дополнительные материалы
- Безопасная версия уязвимого продукта или патч
- Компенсационные меры для пользователей Yandex Cloud
- Влияние на сервисы Yandex Cloud
- 06.10.2023 — CVE-2023-35943 CORS filter segfault when origin header is removed
- 06.10.2023 — CVE-2023-35941 OAuth2 credentials exploit with permanent validity
- 03.07.2023 — CVE-2023-2478 GitLab Critical Security Release: 15.11.2, 15.10.6, and 15.9.7
- 03.07.2023 — CVE-2023-27561 Race-condition to bypass masked paths
- 03.07.2023 — CVE-2023-27492 Crash when a large request body is processed in Lua filter
- 03.07.2023 — CVE-2023-27491 Envoy forwards invalid HTTP/2 and HTTP/3 downstream headers
- 03.07.2023 — CVE-2022-3513 - CVE-2022-3375. GitLab Security Release: 15.10.1, 15.9.4, and 15.8.5
- 13.04.2023 — CVE-2023-26463 — StrongSwan IPsec — Incorrectly Accepted Untrusted Public Key With Incorrect Refcount
- 13.04.2023 — CVE-2023-0286 — OpenSSL Security Advisory 7th February 2023
- 22.02.2023 — CVE-2022-3602, CVE-2022-3786 — OpenSSL Security release v.3.0.7
- 07.02.2023 — CVE-2022-3411, CVE-2022-4138, CVE-2022-3759, CVE-2023-0518, — GitLab Security Release: 15.8.1, 15.7.6, 15.6.7
- 02.02.2022 — CVE-2022-41903 and CVE-2022-23521 — GitLab Critical Security Release: 15.7.5, 15.6.6, 15.5.9
- 26.12.2022 — CVE-2022-47940 — KSMBD FS/KSMBD/SMB2PDU.C SMB2_WRITE
- 06.12.2022 — CVE-2022-28228 — Out-of-bounds reads in YDB servers
- 03.11.2022 — CVE-2022-42889 — Text4Shell
- 01.09.2022 — CVE-2022-2992 — GitLab Critical Security Release: 15.3.2, 15.2.4, 15.1.6
- Исходный отчет
- Краткое описание
- Затронутые технологии
- Уязвимые продукты и версии
- Вендор
- Вектор атаки и уровень опасности согласно CVSS v.3.0
- Рекомендации по обнаружению уязвимости и дополнительные материалы
- Безопасная версия уязвимого продукта или патч
- Компенсационные меры для пользователей Yandex Cloud
- Влияние на сервисы Yandex Cloud
- 31.08.2022 — CVE-2020-8561 — Перенаправление запросов сервера Kubernetes API
- Исходный отчет
- Краткое описание
- Затронутые технологии
- Уязвимые продукты и версии
- Вендор
- Вектор атаки и уровень опасности согласно CVSS v.3.0
- Рекомендации по обнаружению уязвимости и дополнительные материалы
- Безопасная версия уязвимого продукта или патч
- Компенсационные меры для пользователей Yandex Cloud
- Влияние на сервисы Yandex Cloud
- 25.08.2022 — CVE-2022-2884 — Удаленное выполнение команды через импорт GitHub в GitLab
- Исходный отчет
- Краткое описание
- Затронутые технологии
- Уязвимые продукты и версии
- Вендор
- Вектор атаки и уровень опасности согласно CVSS v.3.0
- Рекомендации по обнаружению уязвимости и дополнительные материалы
- Безопасная версия уязвимого продукта или патч
- Компенсационные меры для пользователей Yandex Cloud
- Влияние на сервисы Yandex Cloud
- 04.07.2022 — CVE-2022-27228 — Уязвимость модуля «vote» CMS 1С-Битрикс
- Исходный отчет
- Краткое описание
- Затронутые технологии
- Уязвимые продукты и версии
- Вендор
- Вектор атаки и уровень опасности согласно CVSS v.3.0
- Рекомендации по обнаружению уязвимости и дополнительные материалы
- Безопасная версия уязвимого продукта или патч
- Компенсационные меры для пользователей Yandex Cloud
- Влияние на сервисы Yandex Cloud
- 22.06.2022 — CVE-2022-1680 — Захват аккаунта GitLab, критическая уязвимость
- 15.06.2022 — CVE-2021-25748 — Ingress-nginx. Обход фильтрации в path
- Исходный отчет
- Краткое описание
- Затронутые технологии
- Уязвимые продукты и версии
- Вендор
- Вектор атаки и уровень опасности согласно CVSS v.3.0
- Рекомендации по обнаружению уязвимости и дополнительные материалы
- Безопасная версия уязвимого продукта или патч
- Компенсационные меры для пользователей Yandex Cloud
- Влияние на сервисы Yandex Cloud
- 29.04.2022 — CVE-2022-24735 и CVE-2022-24736 — Redis
- 06.04.2022 — CVE-2022-1162 — GitLab Critical Security Release
- 18.03.2022 — CVE-2022-0811 — cr8escape
- 09.03.2022 — CVE-2022-0847 — Dirty Pipe
- 28.02.2022 — CVE-2022-0735 (token disclosure), CVE-2022-0549, CVE-2022-0751, CVE-2022-0741, CVE-2021-4191, CVE-2022-0738, CVE-2022-0489 — Множественные уязвимости GitLab
- 28.01.2022 — CVE-2022-0185 — Heap overflow bug in legacy_parse_param
- 28.01.2022 — CVE-2021-4034 – Polkit's pkexec
- 29.12.2021 — CVE-2021-45105, CVE-2021-44832 — Отказ в обслуживании и удаленное выполнение кода (Log4j)
- 17.12.2021 — CVE-2021-45046 – Удаленное выполнение кода (Log4j)
- 10.12.2021 — CVE-2021-44228 – Удаленное выполнение кода (Log4Shell, Apache Log4j)
- 12.11.2021 — CVE-2021-22205 — удаленное выполнение кода через уязвимость в GitLab
- 12.10.2021 – CVE-2021-25741 – Возможность получить доступ к файловой системе хоста
- 03.03.2021 — CVE-2021-21309 — удаленное выполнение кода через уязвимость в Redis
- 26.01.2021 — CVE-2021-3156 — повышение привилегий через уязвимости в sudo.
- 24.12.2020 — CVE-2020-25695 — повышение привилегий в PostgreSQL
- 19.11.2020 — Отказ от устаревших TLS протоколов
- 20.09.2020 — CVE-2020-1472 (aka Zerologon)
- 15.06.2020 — Special Register Buffer Data Sampling Attack (aka CrossTalk)
- 28.08.2019 — TCP SACK
- 19.08.2019 — Несколько доменов Yandex Object Storage внесены в Public Suffix List
На этой странице приводятся рекомендации специалистов Yandex Cloud по вопросам безопасности.
06.03.2024 — CVE-2024-21626 Взлом runc process.cwd и утечка контейнера fds
Идентификатор CVE (CVE ID): CVE-2024-21626
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-23919
Исходный отчет
https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv
Краткое описание
runc – это инструмент CLI для создания и запуска контейнеров на Linux согласно спецификации OCI. В runc 1.1.11 и более ранних версиях, вследствие утечки внутреннего дескриптора файлов, злоумышленник мог запустить процесс создания контейнера из runc exec
с целью получения рабочей директории в пространстве имен файловой системы хоста. Таким образом, могла произойти утечка контейнера через предоставление доступа к файловой системе хоста («атака 2»). Подобная атака могла быть организована и с помощью вредоносного образа, благодаря которому процесс контейнера получал доступ к файловой системе хоста через runc run
(«атака 1»). Разновидности атак 1 и 2 также могли использоваться для перезаписи полупроизвольных бинарных файлов хоста, что приводило к полной утечке контейнера («атака 3а» и «атака 3б»).
Патч, включенный в runc версии 1.1.12, устраняет данную проблему.
Затронутые технологии
runc
Уязвимые продукты и версии
От версии 1.0.0 до 1.1.11 включительно.
Вектор атаки и уровень опасности согласно CVSS v.3.0
7,5 HIGH.
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
Общедоступные фрагменты вредоносного кода:
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версии 1.1.12.
Влияние на сервисы Yandex Cloud
Текущие и планируемые к выпуску образы, использующие runc
, обновлены до последней версии. При использовании на ВМ собственного образа, который подвержен уязвимости, рекомендуется обновить его самостоятельно.
05.07.2024 — CVE-2024-6387 RegreSSHion
Идентификатор CVE (CVE ID): CVE-2024-6387
Ссылка на CVE: https://www.cve.org/CVERecord?id=CVE-2024-6387
Исходный отчет
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
Краткое описание
Уязвимость заключается в появлении состояния гонки на сервере OpenSSH (sshd), что позволяет в некоторых случаях выполнять удаленный код без проверки подлинности (RCE) от имени пользователя root в Linux-системах на базе glibc
, что представляет значительную угрозу безопасности. Процесс эксплуатации занимает не менее шести часов.
Затронутые технологии
openssh-server
Уязвимые продукты и версии
openssh-server
до версии4.4p1
;openssh-server
версий от8.5p1
до9.8p1
.
Вендор
OpenBSD Project
Вектор атаки и уровень опасности согласно CVSS v.3.0
Базовая оценка: 8,1 HIGH
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
В качестве временного решения рекомендуется установить значение 0
для параметра LoginGraceTime
в конфигурационном файле /etc/ssh/sshd_config
. Это предотвратит возможную эксплуатацию уязвимости, но потенциально позволит осуществить DDoS-атаку на сервер.
Смотрите также: https://lists.mindrot.org/pipermail/openssh-unix-dev/2024-July/041431.html
Безопасная версия уязвимого продукта или патч
Узнайте используемую версию openssh-server
с помощью команды dpkg -l openssh-server
. Если вы используете версию с уязвимостью, обновите пакет до версии 9.8p1
или выше.
Влияние на сервисы Yandex Cloud
Базовые образы ВМ обновлены до актуальных версий. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.
Проведена проверка на наличие уязвимых внутренних сервисов Yandex Cloud.
06.03.2024 — CVE-2023-23919 Множественные ошибки OpenSSL при обработке задач в криптобиблиотеке node.js
Идентификатор CVE (CVE ID): CVE-2023-23919
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-23919
Исходный отчет
https://hackerone.com/reports/1808596
Краткое описание
Уязвимость криптографического характера наблюдается в Node.js версии ниже 19.2.0, 18.14.1, 16.19.1 и 14.21.3. В некоторых случаях ошибки OpenSSL не устраняются по завершении операций, вызвавших их. Это может привести к ложноположительным срабатываниям во время выполнения последующих криптографических операций, которые попадают в тот же поток. В конечном итоге это может вызвать отказ сервиса.
Затронутые технологии
Node.js. Также затрагивает OpenSSL.
Уязвимые продукты и версии
Node.js версий 19.2.0, 18.14.1, 16.19.1, 14.21.3 и ниже.
Вендор
OpenJS Foundation
Вектор атаки и уровень опасности согласно CVSS v.3.0
Базовая оценка: 7,5.
HIGHVector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
- https://hackerone.com/reports/1808596
- https://github.com/nodejs/node/pull/45495
- https://github.com/nodejs/node/pull/45377
- https://nodejs.org/en/blog/vulnerability/february-2023-security-releases/
Безопасная версия уязвимого продукта или патч
В новых релизах Node.js и OpenSSL данная ошибка исправлена.
Влияние на сервисы Yandex Cloud
Актуальные образы уже содержат обновленный Node.js. При использовании на ВМ собственных образов, на которые могут распространяться указанные уязвимости, рекомендуется провести обновление самостоятельно.
06.03.2024 — CVE-2023-23946 Критически значимый для безопасности релиз GitLab, версии 15.8.2, 15.7.7 и 15.6.8
Идентификатор CVE (CVE ID): CVE-2023-23946
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-23946
Исходный отчет
- https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/
- https://github.com/git/git/security/advisories/GHSA-r87m-v37r-cwfh
- https://github.com/git/git/security/advisories/GHSA-gw92-x3fm-3g3q
Краткое описание
Множественные уязвимости. Полный перечень:
https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/
Затронутые технологии
GitLab
Уязвимые продукты и версии
GitLab CE/EE версии ниже 15.8.2, а также 15.7.7 и 15.6.8
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
Базовая оценка: 6,2.
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Рекомендации по обнаружению уязвимости и дополнительные материалы
https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/
Безопасная версия уязвимого продукта или патч
Уязвимости устранены в версиях 15.8.2, 15.7.7 и 15.6.8.
Влияние на сервисы Yandex Cloud
Для пользователей Yandex Managed Service for GitLab существующие и планирующиеся к выпуску экземпляры уже обновлены до последней версии. При использовании образа на ВМ рекомендуется обновить его самостоятельно.
06.03.2024 — CVE-CVE-2023-22490 Критически значимый для безопасности релиз GitLab, версии 15.8.2, 15.7.7 и 15.6.8
Идентификатор CVE (CVE ID): CVE-CVE-2023-22490
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-CVE-2023-22490
Исходный отчет
- https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/
- https://github.com/git/git/security/advisories/GHSA-r87m-v37r-cwfh
- https://github.com/git/git/security/advisories/GHSA-gw92-x3fm-3g3q
Краткое описание
Множественные уязвимости. Полный перечень:
https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/
Затронутые технологии
GitLab
Уязвимые продукты и версии
GitLab CE/EE версии ниже 15.8.2, а также 15.7.7 и 15.6.8
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
CVE-2023-22490
Базовая оценка: 5,5. CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Рекомендации по обнаружению уязвимости и дополнительные материалы
https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/
Безопасная версия уязвимого продукта или патч
Уязвимости устранены в версиях 15.8.2, 15.7.7 и 15.6.8.
Влияние на сервисы Yandex Cloud
Для пользователей Yandex Managed Service for GitLab существующие и планирующиеся к выпуску экземпляры уже обновлены до последней версии. При использовании образа на ВМ рекомендуется обновить его самостоятельно.
28/12/2023: CVE-2023-44487 DDoS-атака быстрого сброса HTTP/2
CVE ID: CVE-2023-44487
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-44487
Исходный отчет
https://gist.github.com/adulau/7c2bfb8e9cdbe4b35a5e131c66a0c088
Краткое описание
Yandex Cloud применил все необходимые меры для противодействия уязвимости CVE-2023-44487, известной под названием Быстрый сброс HTTP/2.
Эта уязвимость связана с работой протокола HTTP/2. При определенных условиях этот протокол можно использовать для проведения атаки отказа в обслуживании на таких веб-серверах как NGINX, envoy, а также в других продуктах, реализующих серверную часть спецификации HTTP/2. Для защиты систем от этой атаки рекомендуем немедленно обновить свои веб-серверы.
Затронутые технологии
NGINX, HTTP/2
Уязвимые продукты и версии
- NGINX Open Source 1.x: 1.25.2 - 1.9.5
- Пакет org.apache.tomcat.embed:tomcat-embed-core, версии [8.5.94, [9.0.0,9.0.81], [10.0.0,10.1.14], [11.0.0-M3,11.0.0-M12]
- NGINX Ingress Controller
- 3.x 3.0.0 - 3.3.0 3.3.1
- 2.x 2.0.0 - 2.4.2
- 1.x 1.12.2 - 1.12.5
- Envoy 1.27.1, 1.26.5, 1.25.10 или 1.24.10
- NGINX Plus R2x R25 - R30
- BIG-IP (все модули) 17.x 17.1.0
- BIG-IP Next (все модули) 20.x 20.0.1
- BIG-IP Next SPK 1.x, версии с 1.5.0 по 1.8.2
- https://my.f5.com/manage/s/article/K000137106
Базовый вектор атаки и уровень опасности уязвимости согласно CVSS v.3.0
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
Процедура проверки уязвимости и дополнительные материалы (PoC-код, видеодемонстрация и т.д.):
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
https://github.com/envoyproxy/envoy/security/advisories/GHSA-jhv4-f7mr-xx76
https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHETOMCATEMBED-5953331
Версия обновления или патча:
-
Обновите org.apache.tomcat.embed:tomcat-embed-core до версии 8.5.94, 9.0.81, 10.1.14, 11.0.0-M12 или выше.
-
Обновите envoyproxy/envoy до версии 1.24.11, 1.25.10, 1.26.5, 1.27.1 или выше.
-
Используйте NGINX-директиву http2_max_concurrent_streams
https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
-
Воспользуйтесь сервисом Yandex Smart Web Security
Безопасная версия или патч для уязвимого продукта
Находится в разработке.
Затрагиваются ли облачные сервисы?
Нет
28/12/2023: Уязвимость Reptar в Ice Lake (IPU Out-of-Band)
CVE ID: CVE-2023-23583
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-5043
Краткое описание
Уязвимость Reptar затрагивает серверные системы на базе Intel, производитель выпустил необходимые патчи. Инфраструктура Yandex Cloud была обновлена.
Уязвимость потенциально приводила к эскалации привилегий.
Затронутые технологии
Intel (микрокод)
Уязвимые продукты и версии
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00950.html
Базовый вектор атаки и уровень опасности уязвимости согласно CVSS v.3.0
7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
Процедура проверки уязвимости и дополнительные материалы (PoC-код, видеодемонстрация и т.д.):
https://lock.cmpxchg8b.com/reptar.html
Версия обновления или патча:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00950.html
Безопасная версия уязвимого продукта или патч
Уязвимость исправлена начиная с версии 1.9.0.
Затрагиваются ли облачные сервисы?
Нет
28/12/2023: CVE-2023-46850 Патч безопасности OpenVPN вер. 2.6.7
CVE ID: CVE-2023-46849, CVE-2023-46850
Ссылки на CVE:
https://nvd.nist.gov/vuln/detail/CVE-2023-46849
https://nvd.nist.gov/vuln/detail/CVE-2023-46850
Исходный отчет
https://openvpn.net/community-downloads/
Краткое описание
Уязвимость CVE-2023-46850 может привести к отправке содержимого памяти процесса на другую сторону соединения, а также, потенциально – к удаленному выполнению кода.
Уязвимость CVE-2023-46849 может привести к удаленному инициированию аварийного выключения сервера доступа.
Затронутые технологии
OpenVPN
Уязвимые продукты и версии
Версии от v2.6.0 до v2.6.6
Базовый вектор атаки и уровень опасности уязвимости согласно CVSS v.3.0
Cеть.
Процедура проверки уязвимости и дополнительные материалы (PoC-код, видеодемонстрация и т.д.)
PoC-код в разработке.
Безопасная версия уязвимого продукта или патч
Уязвимость исправлена начиная с версии 2.6.7.
Затрагиваются ли облачные сервисы?
Да.
3.11.2023 — CVE-2023-5043 Nginx ingress controller for Kubernetes vulnerabilities
CVE ID: CVE-2023-5043 , CVE-2023-5044 и CVE-2022-4886
Ссылки на CVE:
https://nvd.nist.gov/vuln/detail/CVE-2023-5043
https://nvd.nist.gov/vuln/detail/CVE-2023-5044
https://nvd.nist.gov/vuln/detail/CVE-2022-4886
Исходный отчет
https://github.com/kubernetes/ingress-nginx/issues/10571
https://github.com/kubernetes/ingress-nginx/issues/10572
https://github.com/kubernetes/ingress-nginx/issues/10570
Краткое описание
Первые две бреши, CVE-2023-5043 и CVE-2023-5044, связаны с недостаточной проверкой входных данных и могут привести к внедрению произвольного кода, получению привилегированных учётных данных и краже всех секретов кластера. Обе проблемы имеют оценку уязвимости 7,6 из 10 по шкале CVSS.
Третья уязвимость, CVE-2022-4886, оценивается более высоко — 8,8 по шкале CVSS. Эта проблема может быть эксплуатирована при создании или обновлении объектов Ingress, позволяя злоумышленникам получить доступ к учётным данным Kubernetes API из контроллера Ingress и, следовательно, украсть все секреты кластера. Она затрагивает версии до 1.8.0 включительно.
Затронутые технологии
NGINX
Уязвимые продукты и версии
NGINX до версии 1.9.0.
Рекомендации по обнаружению уязвимости и дополнительные материалы
Наши рекомендации для предотвращения использования данных уязвимостей:
-
Обновить NGINX Ingress контролер до версии 1.9.0, с этой версии добавлена валидация аннотаций и отключены пользовательские сниппеты по умолчанию.
-
Добавить к опциям запуска контроллера аргумент
--enable-annotation-validation
. -
Добавить в конфигурацию (Configmap) контроллера опцию
strict-validate-path-type
. -
Использовать Policy Engine, например Kyverno для валидации путей, используемых в правилах Ingress. Подходящую политику
можно найти на сайте Kyverno.
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версии 1.9.0.
Влияние на сервисы Yandex Cloud
В случае использования ALB Ingress контроллера от Yandex Cloud данные уязвимости не применимы, так как он строится на других технологиях и не имеет аннотаций и настроек, необходимых для реализации уязвимостей.
26.10.2023 — CVE-2023-3484 Обновление системы безопасности GitLab Security Release: 16.1.2, 16.0.7 и 15.11.11
CVE ID: CVE-2023-3484
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-3484
Исходный отчет
https://about.gitlab.com/releases/2023/07/05/security-release-gitlab-16-1-2-released/
Краткое описание
Компания GitLab устранила уязвимость CVE-2023-3484.
Проблема была обнаружена в GitLab EE и затронула все версии начиная с 12.8 и ниже 15.11.11, все версии начиная с 16.0 и ниже 16.0.7, а также все версии начиная с 16.1 и ниже 16.1.2. В ряде случаев, уязвимость позволяла злоумышленнику изменить название или путь к общедоступной группе верхнего уровня.
Затронутые технологии
GitLab
Уязвимые продукты и версии
GitLab CE/EE, версии ниже 16.1.2, 16.0.7 и 15.11.11
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
Рейтинг CVSS: от 3.1 до 6.1
Рекомендации по обнаружению уязвимости и дополнительные материалы
https://about.gitlab.com/releases/2023/07/05/security-release-gitlab-16-1-2-released/
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в GitLab CE/EE начиная с версий 16.1.2, 16.0.7 и 15.11.11
Влияние на сервисы Yandex Cloud
Мы перевели на последнюю версию GitLab все наши текущие и будущие образы, а также планируемые к развертыванию инстансы Managed Service for GitLab. Если вы используете собственные образы на своих машинах, и на них распространяются указанные уязвимости, рекомендуем провести обновление самостоятельно.
26.10.2023 — CVE-2023-3424 - CVE-2023-1936 Обновление системы безопасности GitLab Security Release: 16.1.1, 16.0.6 и 15.11.10
CVE ID: CVE-2023-3424 - CVE-2023-1936
Ссылка на CVE: https://about.gitlab.com/releases/2023/06/29/security-release-gitlab-16-1-1-released/
Исходный отчет
https://about.gitlab.com/releases/2023/06/29/security-release-gitlab-16-1-1-released/
Краткое описание
Компания GitLab выпустила обновление системы безопасности, в котором был исправлен ряд уязвимостей. С полным списком обновлений можно ознакомиться здесь:
https://about.gitlab.com/releases/2023/06/29/security-release-gitlab-16-1-1-released/
Затронутые технологии
GitLab
Уязвимые продукты и версии
GitLab CE/EE, версии ниже 16.1.1, 16.0.6 и 15.11.10
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
Рейтинг CVSS: от 3.5 до 7.5
Рекомендации по обнаружению уязвимости и дополнительные материалы
https://about.gitlab.com/releases/2023/06/29/security-release-gitlab-16-1-1-released/
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в GitLab CE/EE начиная с версий 16.1.1, 16.0.6 и 15.11.10
Влияние на сервисы Yandex Cloud
Мы перевели на последнюю версию GitLab все наши текущие и будущие образы, а также планируемые к развертыванию инстансы Managed Service for GitLab. Если вы используете собственные образы на своих машинах, и на них распространяются указанные уязвимости, рекомендуем провести обновление самостоятельно.
26.10.2023 — CVE-2023-2442 - CVE-2023-2013 Обновление системы безопасности GitLab Security Release: 16.0.2, 15.11.7 и 15.10.8
CVE ID: CVE-2023-2442 - CVE-2022-2013
Ссылка на CVE: https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/
Исходный отчет
https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/
Краткое описание
Компания GitLab выпустила обновление системы безопасности, в котором был исправлен ряд уязвимостей. С полным списком обновлений можно ознакомиться здесь:
https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/
Затронутые технологии
GitLab
Уязвимые продукты и версии
GitLab CE/EE, версии ниже 16.0.2, 15.11.7 и 15.10.8
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
Рейтинг CVSS: от 2.6 до 8.7
Рекомендации по обнаружению уязвимостей и вспомогательные материалы
https://about.gitlab.com/releases/2023/06/05/security-release-gitlab-16-0-2-released/
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в GitLab CE/EE начиная с версий 16.0.2, 15.11.7 и 15.10.8
Влияние на сервисы Yandex Cloud
Мы перевели на последнюю версию GitLab все наши текущие и будущие образы, а также планируемые к развертыванию инстансы Managed Service for GitLab. Если вы используете собственные образы на своих машинах, и на них распространяются указанные уязвимости, рекомендуем провести обновление самостоятельно.
landing
системы управления содержимым сайтов (CMS) 1С-Битрикс
16.10.2023 — BDU-2023-05857 Уязвимость модуля CVE ID: BDU:2023-05857
Ссылка на CVE: https://bdu.fstec.ru/vul/2023-05857
Исходный отчет
https://bdu.fstec.ru/vul/2023-05857
Краткое описание
Уязвимость модуля landing
системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить команды ОС на уязвимом узле, получить контроль над ресурсами и проникнуть во внутреннюю сеть.
Затронутые технологии
1С-Битрикс: Управление сайтом
Уязвимые продукты и версии
до 23.850.0
Вендор
ООО 1С-Битрикс
Вектор атаки и уровень опасности согласно CVSS v.3.0
Рейтинг 10. Вектор CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
- https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=landing
- https://www.bitrix24.ru/features/box/box-versions.php?module=landing
- https://www.bitrix24.com/features/box/box-versions.php
- https://www.bitrix24.com/features/box/box-versions.php?module=landing
- https://safe-surf.ru/upload/VULN-new/VULN.2023-09-21.1.pdf
Безопасная версия уязвимого продукта или патч
Версия landing
23.850.0 и выше.
Компенсационные меры для пользователей Yandex Cloud
Обновление программного продукта до версии landing
23.850.0 и выше.
Влияние на сервисы Yandex Cloud
Мы обновили существующие и будущие образы до актуальной версии. Необходимо проверить текущую версию используемого ПО и обновить его при необходимости. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.
06.10.2023 — CVE-2023-35943 CORS filter segfault when origin header is removed
CVE ID: CVE-2023-35943
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-35943
Исходный отчет
https://github.com/envoyproxy/envoy/security/advisories/GHSA-mc6h-6j9x-v3gq
Краткое описание
До версий 1.27.0, 1.26.4, 1.25.9, 1.24.10 и 1.23.12 фильтр CORS приводил к ошибкам сегментации и аварийному завершению работы Envoy, когда заголовок origin
удалялся между decodeHeaders
и encodeHeaders
. В версиях 1.27.0, 1.26.4, 1.25.9, 1.24.10 и 1.23.12 эта проблема исправлена.
Затронутые технологии
Envoy
Уязвимые продукты и версии
Envoy до версий 1.27.0, 1.26.4, 1.25.9, 1.24.10, 1.23.12
Вендор
Envoy
Вектор атаки и уровень опасности согласно CVSS v.3.0
Рейтинг 7.5. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
Рекомендуется обновление до актуальных версий. Если обновление невозможно, не удаляйте заголовок origin
в конфигурации Envoy.
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версиях 1.27.0, 1.26.4, 1.25.9, 1.24.10, 1.23.12
Влияние на сервисы Yandex Cloud
Мы обновили существующие и будущие образы до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.
06.10.2023 — CVE-2023-35941 OAuth2 credentials exploit with permanent validity
CVE ID: CVE-2023-35941
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-35941
Исходный отчет
https://github.com/envoyproxy/envoy/security/advisories/GHSA-7mhv-gr67-hq55
Краткое описание
До версий 1.27.0, 1.26.4, 1.25.9, 1.24.10 и 1.23.12 злоумышленник мог создавать учетные данные с постоянным сроком действия. Это происходило в редких сценариях, в которых полезная нагрузка HMAC могла всегда успешно проходить проверку фильтра OAuth2. В качестве обходного пути избегайте подстановочных знаков/префиксов домена в конфигурации домена хоста.
Затронутые технологии
Envoy
Уязвимые продукты и версии
Envoy до версий 1.27.0, 1.26.4, 1.25.9, 1.24.10, 1.23.12
Вендор
Envoy
Вектор атаки и уровень опасности согласно CVSS v.3.0
Рейтинг 9.8. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
Рекомендуется обновление до актуальных версий. Если обновление невозможно, не используйте подстановочные знаки/префиксы домена в конфигурации домена хоста.
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версиях 1.27.0, 1.26.4, 1.25.9, 1.24.10, 1.23.12
Влияние на сервисы Yandex Cloud
Мы обновили существующие и будущие образы до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.
03.07.2023 — CVE-2023-2478 GitLab Critical Security Release: 15.11.2, 15.10.6, and 15.9.7
CVE ID: CVE-2023-2478
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-2478
Исходный отчет
Краткое описание
Gitlab закрыл CVE-2023-2478.
В GitLab CE/EE обнаружена проблема, затрагивающая все версии, начиная с 15.4 до 15.9.7, с 15.10 до 15.10.6 и с 15.11 до 15.11.2. При определенных условиях злонамеренный неавторизованный пользователь GitLab может использовать эндпойнт GraphQL для подключения вредоносного GitLab runner к любому проекту.
Затронутые технологии
GitLab
Уязвимые продукты и версии
GitLab CE/EE до 15.11.2, 15.10.6, 15.9.7
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
Рейтинг 9.6. Вектор CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
Рекомендации по обнаружению уязвимости и дополнительные материалы
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версиях 15.11.2, 15.10.6, 15.9.7
Влияние на сервисы Yandex Cloud
Мы обновили существующие и будущие образы, а так же будущие инстансы Managed Service for GitLab до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.
03.07.2023 — CVE-2023-27561 Race-condition to bypass masked paths
CVE ID: CVE-2023-27561
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-27561
Исходный отчет
https://gist.github.com/LiveOverflow/c937820b688922eb127fb760ce06dab9
Краткое описание
runc
до версии 1.1.4 имеет неправильный контроль доступа, приводящий к повышению привилегий, связанных с libcontainer/rootfs_linux.go
. Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь возможность создать два контейнера с пользовательскими конфигурациями монтирования томов и иметь возможность запускать пользовательские образы.
Затронутые технологии
Linux kernel (runc)
Уязвимые продукты и версии
runc
до версии 1.1.5
Вендор
Linux kernel
Вектор атаки и уровень опасности согласно CVSS v.3.0
Рейтинг 7.0. Вектор CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
Рекомендуется обновление до актуальных версий.
- https://www.opencve.io/cve/CVE-2023-27561
- https://nvd.nist.gov/vuln/detail/CVE-2023-27561
- https://gist.github.com/LiveOverflow/c937820b688922eb127fb760ce06dab9
- https://github.com/opencontainers/runc/issues/2197#issuecomment-1437617334
- https://github.com/opencontainers/runc/issues/3751
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версии 1.1.5
Влияние на сервисы Yandex Cloud
Мы обновили существующие и будущие образы, использующие runc
, до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.
03.07.2023 — CVE-2023-27492 Crash when a large request body is processed in Lua filter
CVE ID: CVE-2023-27492
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-27492
Исходный отчет
https://github.com/envoyproxy/envoy/security/advisories/GHSA-wpc2-2jp6-ppg2
Краткое описание
До версий 1.26.0, 1.25.3, 1.24.4, 1.23.6 и 1.22.9 фильтр Lua был уязвим для отказа в обслуживании. Злоумышленники могут отправлять запросы с большим количеством данных в теле для маршрутов с включенным фильтром Lua и вызывать сбои. Начиная с версий 1.26.0, 1.25.3, 1.24.4, 1.23.6 и 1.22.9, Envoy больше не вызывает сопрограмму Lua, если фильтр был сброшен.
Затронутые технологии
Envoy
Уязвимые продукты и версии
Envoy до версий 1.26.0, 1.25.3, 1.24.4, 1.23.6, 1.22.9
Вендор
Envoy
Вектор атаки и уровень опасности согласно CVSS v.3.0
Рейтинг 6.5. Вектор CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
Необходимо обновление до свежих версий.
https://github.com/envoyproxy/envoy/security/advisories/GHSA-wpc2-2jp6-ppg2
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версиях 1.26.0, 1.25.3, 1.24.4, 1.23.6, 1.22.9
Влияние на сервисы Yandex Cloud
Мы обновили версию компонента, которая используется в наших сервисах, до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.
03.07.2023 — CVE-2023-27491 Envoy forwards invalid HTTP/2 and HTTP/3 downstream headers
CVE ID: CVE-2023-27491
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-27491
Исходный отчет
https://github.com/envoyproxy/envoy/security/advisories/GHSA-5jmv-cw9p-f9rp
Краткое описание
Совместимая служба HTTP/1 должна отклонять неправильно сформированные строки запроса. До версий 1.26.0, 1.25.3, 1.24.4, 1.23.6 и 1.22.9 существовала вероятность того, что несоответствующая служба HTTP/1 может разрешать выполнение неправильно сформированных запросов, что потенциально может привести к обходу политик безопасности.
Затронутые технологии
Envoy
Уязвимые продукты и версии
Envoy до версий 1.26.0, 1.25.3, 1.24.4, 1.23.6, 1.22.9
Вендор
Envoy
Вектор атаки и уровень опасности согласно CVSS v.3.0
Рейтинг 9.1. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Рекомендации по обнаружению уязвимости и дополнительные материалы
Необходимо обновление до свежих версий.
- https://datatracker.ietf.org/doc/html/rfc9113#section-8.3
- https://datatracker.ietf.org/doc/html/rfc9114#section-4.3.1
- https://github.com/envoyproxy/envoy/security/advisories/GHSA-5jmv-cw9p-f9rp
- https://www.rfc-editor.org/rfc/rfc9110#section-5.6.2
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версиях 1.26.0, 1.25.3, 1.24.4, 1.23.6, 1.22.9
Влияние на сервисы Yandex Cloud
Мы обновили версию компонента, которая используется в наших сервисах, до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.
03.07.2023 — CVE-2022-3513 - CVE-2022-3375. GitLab Security Release: 15.10.1, 15.9.4, and 15.8.5
CVE ID: CVE-2022-3513 - CVE-2022-3375
Ссылка на CVE: https://about.gitlab.com/releases/2023/03/30/security-release-gitlab-15-10-1-released/
Исходный отчет
https://about.gitlab.com/releases/2023/03/30/security-release-gitlab-15-10-1-released/
Краткое описание
GitLab выпустил релиз безопасности, в котором закрыты множественные уязвимости. Полный список:
https://about.gitlab.com/releases/2023/03/30/security-release-gitlab-15-10-1-released/
Затронутые технологии
GitLab
Уязвимые продукты и версии
GitLab CE/EE до 15.10.1, 15.9.4, 15.8.5
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
Рейтинг от 3.1 до 6.1
Рекомендации по обнаружению уязвимости и дополнительные материалы
https://about.gitlab.com/releases/2023/03/30/security-release-gitlab-15-10-1-released/
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версиях 15.10.1, 15.9.4, 15.8.5
Влияние на сервисы Yandex Cloud
Мы обновили существующие и будущие образы, а так же будущие инстансы Managed Service for GitLab до актуальной версии. Если вы используете собственный образ на ВМ, который подвержен уязвимости, рекомендуется обновить его самостоятельно.
13.04.2023 — CVE-2023-26463 — StrongSwan IPsec — Incorrectly Accepted Untrusted Public Key With Incorrect Refcount
CVE ID: CVE-2023-26463
Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-26463
Исходный отчет
https://www.strongswan.org/blog/2023/03/02/strongswan-vulnerability-(cve-2023-26463).html
Краткое описание
Реализация TLS в libtls
неверно идентифицирует открытый ключ из сертификата однорангового узла как доверенный, даже если сертификат не проходит проверку. Однако у открытого ключа также возникает ошибка при подсчете количества ссылок, что приводит к разыменованию указателя с истекшим сроком действия. Обычно это приводит к сбою сегментации и отказу сервиса, но при этом возможно раскрытие информации или выполнение кода.
Злоумышленник может вызвать этот сбой, отправив самоподписанный (или по другим причинам ненадежный) сертификат на сервер, который аутентифицирует клиентов с помощью метода EAP на основе TLS, такого как EAP-TLS. Клиенты могут быть также уязвимы для злоумышленников, которые отправляют им запрос на такой метод EAP с ненадежным сертификатом сервера. Затронуты версии strongSwan 5.9.8 и 5.9.9.
Затронутые технологии
StrongSwan IPsec
Уязвимые продукты и версии
StrongSwan IPsec до версии 5.9.10
Вендор
StrongSwan IPsec
Вектор атаки и уровень опасности согласно CVSS v.3.0
Not installed on 29.03.2023.
Рекомендации по обнаружению уязвимости и дополнительные материалы
- https://www.strongswan.org/blog/2023/03/02/strongswan-vulnerability-(cve-2023-26463).html
- https://www.opennet.ru/opennews/art.shtml?num=58736
Серверы, которые не загружают плагины, реализующие методы EAP на основе TLS (EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-TNC), не подвержены этой уязвимости. Если эти плагины загружаются, они не должны использоваться в качестве способа удаленной аутентификации. Также не следует использовать плагин eap-dynamic
, поскольку он позволяет клиентам выбирать предпочтительный метод EAP. Серверы, которые используют методы на основе TLS через плагин eap-radius
только в качестве способа удаленной аутентификации, также не подвержены этой уязвимости.
Безопасная версия уязвимого продукта или патч
StrongSwan IPsec начиная с версии 5.9.10
Влияние на сервисы Yandex Cloud
Образ StrongSwan IPsec в Yandex Cloud Marketplace не подвержен данной уязвимости согласно https://ubuntu.com/security/CVE-2023-26463
13.04.2023 — CVE-2023-0286 — OpenSSL Security Advisory 7th February 2023
CVE ID: CVE-2023-0286
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-0286
Исходный отчет
Краткое описание
Проект OpenSSL выпустил патч для закрытия ряда уязвимостей, в том числе критичной CVE-2023-0286.
Затронутые технологии
OpenSSL
Уязвимые продукты и версии
OpenSSL версий 3.0.0 - 3.0.7 включительно, 1.1.1 и 1.0.2.
Вендор
OpenSSL
Вектор атаки и уровень опасности согласно CVSS v.3.0
Base Score: 7.4 HIGH
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
Рекомендуется обновление OpenSSL до последних версий.
Безопасная версия уязвимого продукта или патч
Пользователи OpenSSL 3.0.0 - 3.0.7 должны обновиться до OpenSSL 3.0.8.
Пользователи OpenSSL 1.1.1 должны обновиться до OpenSSL 1.1.1t.
Пользователи OpenSSL 1.0.2 должны обновиться до OpenSSL 1.0.2zg.
Влияние на сервисы Yandex Cloud
Мы собрали и внедрили актуальные версии OpenSSL в используемые образы. Пользователям, использующим прошлые версии ОС из Yandex Cloud Marketplace с установленным OpenSSL версий 1.0.2, 1.1.1 и 3.0.0, рекомендуется самостоятельное обновление OpenSSL.
22.02.2023 — CVE-2022-3602, CVE-2022-3786 — OpenSSL Security release v.3.0.7
CVE ID: CVE-2022-3602, CVE-2022-3786.
Ссылки на CVE:
https://nvd.nist.gov/vuln/detail/CVE-2022-3602
https://nvd.nist.gov/vuln/detail/CVE-2022-3786
Исходный отчет
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
https://www.openssl.org/news/secadv/20221101.txt
Краткое описание
Проект OpenSSL выпустил патч для закрытия критичных уязвимостей, связанных с переполнением буфера при проверке сертификата X.509. Уязвимости CVE-2022-3602 и CVE-2022-3786 исправлены в OpenSSL, начиная с версии 3.0.7.
Затронутые технологии
OpenSSL
Уязвимые продукты и версии
OpenSSL до версии 3.0.7.
Вендор
OpenSSL
Вектор атаки и уровень опасности согласно CVSS v.3.0
Base Score: 7.5 HIGH
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
При использовании OpenSSL рекомендуется обновление до версии 3.0.7 и старше.
Безопасная версия уязвимого продукта или патч
OpenSSL начиная с версии 3.0.7.
Влияние на сервисы Yandex Cloud
Мы собрали и внедрили актуальные версии OpenSSL в используемые образы. В облачных ресурсах среди загруженных модулей и установленных пакетов уязвимый компонент отсутствует.
Пользователям, использующим прошлые версии ОС из Cloud Marketplace с установленным OpenSSL версии до 3.0.7, рекомендуется самостоятельное обновление OpenSSL.
07.02.2023 — CVE-2022-3411, CVE-2022-4138, CVE-2022-3759, CVE-2023-0518, — GitLab Security Release: 15.8.1, 15.7.6, 15.6.7
CVE ID: CVE-2022-3411, CVE-2022-4138, CVE-2022-3759, CVE-2023-0518.
Ссылки на CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3411
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4138
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3759
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0518
Исходный отчет
Краткое описание
Множественные уязвимости. Полный список: https://about.gitlab.com/releases/2023/01/31/security-release-gitlab-15-8-1-released/
Затронутые технологии
GitLab
Уязвимые продукты и версии
GitLab CE/EE до 15.8.1, 15.7.6 и 15.6.7.
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
6.5-4.3
Рекомендации по обнаружению уязвимости и дополнительные материалы
https://about.gitlab.com/releases/2023/01/31/security-release-gitlab-15-8-1-released/
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версиях 15.8.1, 15.7.6 и 15.6.7.
Влияние на сервисы Yandex Cloud
Для удобства пользователей сервиса Managed Service for GitLab, мы уже обновили существующие и будущие инстансы до актуальной версии. Если вы используете образ на VM, рекомендуется обновить его самостоятельно.
02.02.2022 — CVE-2022-41903 and CVE-2022-23521 — GitLab Critical Security Release: 15.7.5, 15.6.6, 15.5.9
CVE ID: CVE-2022-41903 and CVE-2022-23521
Ссылки на CVE:
https://nvd.nist.gov/vuln/detail/CVE-2022-41903
https://nvd.nist.gov/vuln/detail/CVE-2022-23521
Исходный отчет
https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq
https://github.com/git/git/security/advisories/GHSA-c738-c5qq-xg89
Краткое описание
Множественные уязвимости. Полный список: https://about.gitlab.com/releases/2023/01/17/critical-security-release-gitlab-15-7-5-released/
Затронутые технологии
GitLab
Уязвимые продукты и версии
GitLab CE/EE до 15.7.5, 15.6.6 и 15.5.9.
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
Уровень опасности: 9.9.
Рекомендации по обнаружению уязвимости и дополнительные материалы
https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq
https://github.com/git/git/security/advisories/GHSA-c738-c5qq-xg89
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версиях 15.7.5, 15.6.6 и 15.5.9.
Влияние на сервисы Yandex Cloud
Для удобства пользователей сервиса Managed Service for GitLab, мы уже обновили существующие и будущие инстансы до актуальной версии. Если вы используете образ на VM, рекомендуется обновить его самостоятельно.
26.12.2022 — CVE-2022-47940 — KSMBD FS/KSMBD/SMB2PDU.C SMB2_WRITE
CVE ID: CVE-2022-47940
Ссылка на CVE: https://ubuntu.com/security/CVE-2022-47940
Исходный отчет
https://ubuntu.com/security/CVE-2022-47940
Краткое описание
Если инсталляция использует версию ядра Linux, которая содержит данную уязвимость, атакующие могут получить доступ к чувствительной информации. Атакующий должен аутентифицироваться, чтобы воспользоваться уязвимостью. Уязвимость использует недостатки обработки команд SMB2_WRITE. Из-за неправильной валидации пользовательских данных атакующий может считать данные за пределами разрешенного буфера и выполнить произвольный код в контексте ядра, воспользовавшись данной уязвимостью и другими.
Уязвимость появляется при запуске сервиса ksmbd
из пакета ksmbd-tools
.
Затронутые технологии
Ядро Linux.
Уязвимые продукты и версии
Linux Kernel до 5.18.17
ksmbd-tools
Вендор
ksmbd-tools
Вектор атаки и уровень опасности согласно CVSS v.3.0
4.1
Рекомендации по обнаружению уязвимости и дополнительные материалы
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версии Linux Kernel 5.18.18.
Влияние на сервисы Yandex Cloud
В облачных ресурсах среди загруженных модулей и установленных пакетов данный компонент отсутствует.
Если вы используете в Yandex Compute Cloud образы из Marketplace, их необходимо обновить до безопасной версии самостоятельно.
06.12.2022 — CVE-2022-28228 — Out-of-bounds reads in YDB servers
Обновлено 08.12.2022
Сообщил об уязвимости: Max Arnold arnold.maxim@yandex.ru
CVE ID: CVE-2022-28228
Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28228
Исходный отчет
https://ydb.tech/en/docs/security-changelog#28-11-2022
Краткое описание
Злоумышленник может составить специальный запрос, чтобы инициировать ошибку. В сообщение об ошибке могут попасть фрагменты данных другого кластера. Также злоумышленник может вызвать отказ в обслуживании кластера.
Затронутые технологии
Yandex Managed Service for YDB в serverless-режиме.
Уязвимые продукты и версии
Уязвимы все версии до 22.4.44.
В версии 22.4.44 уязвимость устранена.
Вендор
Yandex
Рекомендации по обнаружению уязвимости и дополнительные материалы
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28228
Безопасная версия уязвимого продукта или патч
Любая версия от 22.4.44 и старше.
Компенсационные меры для пользователей Yandex Cloud
Все работы выполнены сервисом, дополнительные действия не требуются.
Влияние на сервисы Yandex Cloud
Уязвимость распространялась только на сервис Yandex Managed Service for YDB в serverless-режиме. На текущий момент уязвимость закрыта: все экземпляры YDB обновлены до безопасной версии.
03.11.2022 — CVE-2022-42889 — Text4Shell
CVE ID: CVE-2022-42889
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2022-42889
Исходный отчет
https://nvd.nist.gov/vuln/detail/CVE-2022-42889
Краткое описание
Уязвимость обнаружена в нескольких версиях библиотеки Apache Commons Text. Приложения, которые используют параметры интерполяции строк по умолчанию, могут оказаться уязвимыми для удаленного выполнения кода или непредусмотренного взаимодействия с удаленными серверами.
Затронутые технологии
Apache Commons Text
Уязвимые продукты и версии
Уязвимы все версии от 1.5 до 1.9.
В версии 1.10.0 уязвимость устранена.
Вендор
Apache Software Foundation
Вектор атаки и уровень опасности согласно CVSS v.3.0
Уровень опасности: 9.8_Critical.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
Рекомендации по обнаружению уязвимости и дополнительные материалы
- https://infosecwriteups.com/text4shell-poc-cve-2022-42889-f6e9df41b3b7
- https://sysdig.com/blog/cve-2022-42889-text4shell/
- https://kyverno.io/policies/other/verify_image_cve-2022-42889/
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версии 1.10.0.
Влияние на сервисы Yandex Cloud
В сервисах Yandex Cloud, которые используют библиотеку, она обновлена до безопасной версии.
01.09.2022 — CVE-2022-2992 — GitLab Critical Security Release: 15.3.2, 15.2.4, 15.1.6
CVE ID: CVE-2022-2992
Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2992
Исходный отчет
https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/
Краткое описание
Множественные уязвимости. Полный список: https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/
Затронутые технологии
GitLab
Уязвимые продукты и версии
Уязвимы все версии GitLab CE/EE до 15.3.2, 15.2.4 и 15.1.6.
В версиях 15.3.2, 15.2.4 и 15.1.6 уязвимость устранена.
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
Уровень опасности: 9.9.
AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Рекомендации по обнаружению уязвимости и дополнительные материалы
https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версиях 15.3.2, 15.2.4 и 15.1.6.
Компенсационные меры для пользователей Yandex Cloud
https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/
Влияние на сервисы Yandex Cloud
Уязвимость влияет на пользователей сервиса Managed Service for GitLab и образов GitLab из Cloud Marketplace.
Все образы GitLab в Managed Service for GitLab и Cloud Marketplace обновляются до безопасных версий.
31.08.2022 — CVE-2020-8561 — Перенаправление запросов сервера Kubernetes API
CVE ID: CVE-2020-8561
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2020-8561
Исходный отчет
https://groups.google.com/g/kubernetes-security-announce/c/RV2IhwcrQsY
Краткое описание
В Kubernetes пользователь, который контролирует ответы на запросы MutatingWebhookConfiguration
или ValidatingWebhookConfiguration
, может перенаправить запросы kube-apiserver
в частные сети, к которым подключен сервер API. Если уровень логирования — 10
, то в логи попадают ответы из частной сети.
Затронутые технологии
Kubernetes
Уязвимые продукты и версии
Все версии Kubernetes.
Вендор
Kubernetes
Вектор атаки и уровень опасности согласно CVSS v.3.0
Уровень опасности: 4.1.
AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N
Рекомендации по обнаружению уязвимости и дополнительные материалы
https://groups.google.com/g/kubernetes-security-announce/c/RV2IhwcrQsY
Безопасная версия уязвимого продукта или патч
Нет патчей или безопасных версий.
Компенсационные меры для пользователей Yandex Cloud
https://groups.google.com/g/kubernetes-security-announce/c/RV2IhwcrQsY
Закройте доступ kube-apiserver
к ресурсам с чувствительной информацией.
Так же вы можете задать значение меньше 10
для флага -v
и false
для флага --profiling
(значение по умолчанию — true
). Webhook-запросы смогут перенаправляться в частные сети, но с уровнем логирования меньше 10
тело ответа не попадает в логи. Пользователи не смогут изменить уровень логирования kube-apiserver
.
Влияние на сервисы Yandex Cloud
Влияние отсутствует. API-сервер в Yandex Managed Service for Kubernetes изолирован от сервисного интерфейса. Сервер работает от имени отдельного пользователя, который изолирован локальным межсетевым экраном.
25.08.2022 — CVE-2022-2884 — Удаленное выполнение команды через импорт GitHub в GitLab
Обновлено 01.09.2022
CVE ID: CVE-2022-2884
Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2884
Исходный отчет
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
Краткое описание
Уязвимость в GitLab CE/EE позволяет аутентифицированному пользователю удаленно выполнить код через импорт от эндпоинта API GitHub.
Затронутые технологии
GitLab
Уязвимые продукты и версии
Уязвимы следующие версии GitLab CE/EE:
- с 11.3.4 до 15.1.5;
- с 15.2 до 15.2.3;
- с 15.3 до 15.3.1.
В версиях 15.1.5, 15.2.3 и 15.3.1 уязвимость устранена.
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
Уровень опасности: 9.9.
AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H.
Рекомендации по обнаружению уязвимости и дополнительные материалы
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версиях GitLab CE/EE 15.1.5, 15.2.3 и 15.3.1.
Компенсационные меры для пользователей Yandex Cloud
Отключите импорт из GitHub в GitLab:
- Войдите в аккаунт администратора вашей инсталляции GitLab.
- Нажмите Menu → Admin.
- Нажмите Settings → General.
- Откройте раздел Visibility and access controls.
- В блоке Import sources отключите опцию GitHub.
- Нажмите Save changes.
Влияние на сервисы Yandex Cloud
Уязвимость не влияет на пользователей Yandex Cloud. Версии GitLab в Managed Service for GitLab и Cloud Marketplace обновлены до безопасной версии.
04.07.2022 — CVE-2022-27228 — Уязвимость модуля «vote» CMS 1С-Битрикс
CVE ID: CVE-2022-27228
Ссылка на CVE: https://nvd.nist.gov/vuln/detail/CVE-2022-27228
Исходный отчет
https://bdu.fstec.ru/vul/2022-01141
https://helpdesk.bitrix24.com/open/15536776/
Краткое описание
Уязвимость модуля «vote» системы управления содержимым сайтов (CMS) 1С-Битрикс: управление сайтом связано с возможностью отправки специально сформированных сетевых пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольные файлы в уязвимую систему.
Затронутые технологии
Bitrix CMS
Уязвимые продукты и версии
Все версии до 21.0.100.
Вендор
1С-Битрикс
Вектор атаки и уровень опасности согласно CVSS v.3.0
Уровень опасности: 9,8
Рекомендации по обнаружению уязвимости и дополнительные материалы
Запросы к /bitrix/tools/composite_data.php
, /bitrix/tools/html_editor_action.php
, /bitrix/admin/index.php
, /bitrix/tools/vote/uf.php
.
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версии 21.0.100 модуля «vote».
https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=vote
Компенсационные меры для пользователей Yandex Cloud
Дополнительная валидация входных данных для модуля «vote», в том числе средствами WAF.
Влияние на сервисы Yandex Cloud
Влияние на сервисы Yandex Cloud отсутствует.
22.06.2022 — CVE-2022-1680 — Захват аккаунта GitLab, критическая уязвимость
CVE ID: CVE-2022-1680
Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1680
Исходный отчет
https://about.gitlab.com/releases/2022/06/01/critical-security-release-gitlab-15-0-1-released/
Краткое описание
Если для премиум-группы в GitLab используются SAML SSO и SCIM, владелец группы может пригласить произвольного пользователя в группу, заменить через SCIM адрес электронной почты пользователя и таким образом захватить аккаунт пользователя (если не используется двухфакторная аутентификация).
Затронутые технологии
Gitlab
Уязвимые продукты и версии
Уязвимы следующие версии GitLab Enterprise Edition (EE):
- от 11.10 до 14.9.5;
- от 14.10 до 14.10.4;
- от 15.0 до 15.0.1.
В версиях 15.0.1, 14.10.4 и 14.9.5 уязвимость устранена.
Вендор
GitLab Inc.
Вектор атаки и уровень опасности согласно CVSS v.3.0
Уровень опасности: 9.9
Рекомендации по обнаружению уязвимости и дополнительные материалы
Если вы используете собственную инсталляцию GitLab, проверьте, включена ли group_saml
https://docs.gitlab.com/ee/integration/saml.html#configuring-group-saml-on-a-self-managed-gitlab-instance
Безопасная версия уязвимого продукта или патч
Уязвимость устранена в версиях: 15.0.1, 14.10.4 и 14.9.5.
Компенсационные меры для пользователей Yandex Cloud
Yandex Compute Cloud
Образы GitLab для Yandex Compute Cloud в Yandex Cloud Marketplace обновлены до безопасной версии.
Пользователи Yandex Compute Cloud, которые используют устаревшие образы GitLab из Yandex Cloud Marketplace или собственные инсталляции устаревших версий, могут быть подвержены уязвимости.
Обновитесь до последней версии.
Yandex Managed Service for GitLab
Для пользователей Yandex Managed Service for GitLab (находится на стадии preview) версия GitLab обновлена до безопасной.
Дополнительных действий от пользователей не требуется.
15.06.2022 — CVE-2021-25748 — Ingress-nginx. Обход фильтрации в path
CVE ID: CVE-2021-25748
Ссылка на CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25748
Исходный отчет
Краткое описание
Пользователь может обойти фильтрацию в поле spec.rules[].http.paths[].path
объекта ingress (в группе API networking.k8s.io или extensions), использовав в значении поля символ новой строки, и получить реквизиты доступа контроллера ingress-nginx. В конфигурации по умолчанию с этими реквизитами можно получить доступ ко всем секретам кластера.
Затронутые технологии
- Kubernetes
- Nginx
Уязвимые продукты и версии
ingress-nginx < v1.2.1
Вендор
NGINX ingress controller
Вектор атаки и уровень опасности согласно CVSS v.3.0
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L
Рекомендации по обнаружению уязвимости и дополнительные материалы
Безопасная версия уязвимого продукта или патч
ingress-nginx v1.2.1
Компенсационные меры для пользователей Yandex Cloud
Если вы используете контроллер ingress-nginx в Yandex Managed Service for Kubernetes или собственную инсталляцию Kubernetes и не можете обновиться до безопасной версии, используйте политику, которая ограничивает поле spec.rules[].http.paths[].path
ресурса networking.k8s.io/Ingress только безопасными символами (новые правила
Влияние на сервисы Yandex Cloud
Влияние на сервисы Yandex Cloud отсутствует, так как в инфраструктуре не используется ingress-nginx. Вместо него используется alb-ingress controller.
29.04.2022 — CVE-2022-24735 и CVE-2022-24736 — Redis
Описание
CVE-2022-24735
Уязвимость CVE-2022-24735
Подробное описание уязвимости представлено в статье
Описание уязвимости: CVE-2022-24735
CVSS рейтинг: 3.9 LOW
CVE-2022-24736
Уязвимость CVE-2022-24736
Подробное описание уязвимости представлено в статье
Описание уязвимости: CVE-2022-24736
CVSS рейтинг: 3.3 LOW
Влияние
Общее влияние
Влиянию подвержены все базы данных Redis с версиями до 7.0.0 и 6.2.7.
Влияние на сервисы Yandex Cloud
В сервисе Managed Service for Redis используются следующие версии Redis: 5.0, 6.0, 6.2.
В настоящее время принимаются меры по компенсации уязвимости в сервисах Yandex Cloud:
- Для версии 6.2 ведется работа по обновлению до актуальной исправленной версии 6.2.7. Обновление пройдет в штатном режиме согласно настройкам кластера.
- Для версий 6.0 и 5.0 вендор не выпускал обновлений, пользователям необходимо самостоятельно обновиться до версии 6.2, чтобы получить обновление до версии 6.2.7 в штатном режиме.
Компенсационные меры
Если вы используете Redis версий 6.0 или 5.0 в составе Managed Service for Redis, срочно обновитесь до версии 6.2.
Если вы используете собственную инсталляцию Redis, обновитесь до версии 6.2.7 либо 7.0.0. Если обновление в текущий момент невозможно, используйте workaround
06.04.2022 — CVE-2022-1162 — GitLab Critical Security Release
Описание
Компания Gitlab опубликовала информацию о наборе уязвимостей в статье
Уязвимость была обнаружена внутри компании и получила идентификатор CVE-2022-1162. Уязвимость затрагивает как GitLab Community Edition (CE), так и Enterprise Edition (EE):
- все версии до 14.7.7 включительно;
- все версии от 14.8 до 14.8.5 включительно;
- все версии от 14.9 до 14.9.2 включительно.
Уязвимость связана с тем, что статические пароли были случайно установлены во время регистрации на основе OmniAuth в GitLab CE/EE.
Это внеочередной релиз, который в том числе является месячным релизом за март.
GitLab подготовил скрипт
Влияние на сервисы Yandex Cloud
Yandex Compute Cloud
Образ GitLab для Yandex Compute Cloud в Yandex Cloud Marketplace был обновлен до актуальной версии.
Уязвимости потенциально подвержены все пользователи Yandex Compute Cloud, которые используют устаревшие образы GitLab из Yandex Cloud Marketplace либо собственные образы устаревших версий. Таким пользователям необходимо выполнить переустановку системы из актуального образа маркетплейс либо обновление версии GitLab до актуальной.
Со стороны Yandex Cloud были отправлены оповещения всем пользователям, которые используют устаревший образ GitLab.
Yandex Managed Service for GitLab
Для пользователей Yandex Managed Service for GitLab, которые находятся в тестовом режиме в облаке Yandex Cloud, мы уже обновили существующие и будущие инстансы до актуальной версии.
Со стороны Yandex Cloud были отправлены оповещения всем пользователям, которые используют Yandex Managed Service for GitLab.
Компенсационные меры
Уязвимости потенциально подвержены все пользователи, которые используют собственные образы GitLab устаревших версий. Таким пользователям необходимо выполнить обновление версии GitLab до актуальной.
18.03.2022 — CVE-2022-0811 — cr8escape
Описание
Исследователи компании CrowdStrike обнаружили уязвимость в контейнерном движке CRI-O, который может использоваться в Kubernetes. Уязвимость позволяет злоумышленнику, который имеет возможность запускать поды, выбраться из контейнера, получить привилегии пользователя root и развить атаку на остальной кластер.
Уязвимость заключается в том, что начиная с версии CRI-O 1.19 можно переопределить системные параметры sysctl и, в частности, использовать kernel.core_pattern для выхода из контейнера.
Ссылка на CVE: CVE-2022-0811
Исходный отчет
Влияние на сервисы Yandex Cloud
Влияние отсутствует, так как в сервисе Managed Service for Kubernetes движок CRI-O недоступен для использования.
Компенсационные меры
Если вы используете Kubernetes не в составе сервиса Managed Service for Kubernetes, а в виде собственной «bare metal» инсталляции:
-
обновите CRI-O до версии 1.23.2;
-
если для вашей операционной системы отсутствует патч с обновлением, откатите CRI-O до версии 1.18 или ниже;
-
если в настоящее время вы не можете изменить версию CRI-O:
- примените политику, которая блокирует "+" или "=" в значениях sysctl;
- PodSecurityPolicy forbiddenSysctls
чтобы заблокировать все sysctl.
09.03.2022 — CVE-2022-0847 — Dirty Pipe
Обновлено 17.03.2022
Описание
Исследователь кибербезопасности Макс Келлерман обнаружил уязвимость в Linux, которая позволяет злоумышленнику перезаписывать данные в произвольных файлах, предназначенных только для чтения. Уязвимость назвали Dirty Pipe под кодом CVE-2022-0847. Она актуальна для ядра Linux, начиная с версии 5.8 (2020 год). Уязвимость сохранялась до февраля 2022 года, когда была устранена в версиях 5.16.11, 5.15.25 и 5.10.102.
Отмечается, что по уровню опасности Dirty Pipe находится на одном уровне с Dirty COW (другой опасной уязвимостью, выявленной в 2016 году), но значительно проще в эксплуатации.
Исходный отчёт: статья
Описание уязвимости: CVE-2022-0847
Влияние на сервисы Yandex Cloud
Уязвимость не влияет на инфраструктуру Yandex Cloud, так как в инфраструктурных сервисах используются версии ядра, отличные от тех, которые подвержены уязвимости.
Однако уязвимости были подвержены несколько образов виртуальных машин из Cloud Marketplace:
- yc/ubuntu-20-04-lts-gpu
- yc/ubuntu-20-04-lts-gpu-a100
Компенсационные меры
Образы ВМ, которые подвержены уязвимости, были удалены из Cloud Marketplace. Вместо удаленных образов в Cloud Marketplace размещены актуальные обновленные образы, которые не подвержены уязвимости.
Если вы используете собственный образ ВМ либо устаревший образ из Marketplace, который подвержен уязвимости, выполните обновление согласно официальной документации, например для Ubuntu
28.02.2022 — CVE-2022-0735 (token disclosure), CVE-2022-0549, CVE-2022-0751, CVE-2022-0741, CVE-2021-4191, CVE-2022-0738, CVE-2022-0489 — Множественные уязвимости GitLab
Описание
Компания GitLab Inc опубликовала информацию о наборе уязвимостей в статье
CVE-2022-0735
Наиболее критичная уязвимость из набора – CVE-2022-0735
Распространяется на следующие версии:
- все версии от 12.10 до 14.6.5 включительно;
- все версии от 14.7 до 14.7.4 включительно;
- все версии от 14.8 до 14.8.2 включительно.
Остальные уязвимости из набора менее опасны.
CVE-2022-0549
CVE-2022-0549 «Unprivileged users can add other users to groups through an API endpoint» имеет средний уровень критичности.
Распространяется на следующие версии:
- все версии от 14.4 до 14.4.4 включительно;
- все версии от 14.5 до 14.5.2 включительно.
CVE-2022-0751
CVE-2022-0751 «Inaccurate display of Snippet contents can be potentially misleading to users» имеет средний уровень критичности.
CVE-2022-0741
CVE-2022-0741 «Environment variables can be leaked via the sendmail delivery method» имеет средний уровень критичности.
CVE-2021-4191
CVE-2021-4191 «Unauthenticated user enumeration on GraphQL API» имеет средний уровень критичности и распространяется на все версии от 14.4 до 14.8 включительно.
CVE-2022-0738
CVE-2022-0738 «Adding a pull mirror with SSH credentials can leak password» имеет средний уровень критичности.
Распространяется на следующие версии:
- все версии от 14.6 до 14.6.5 включительно;
- все версии от 14.7 до 14.7.4 включительно;
- все версии от 14.8 до 14.8.2 включительно.
CVE-2022-0489
CVE-2022-0489 «Denial of Service via user comments» имеет низкий уровень критичности и распространяется на все версии от 8.15.
Ссылки на CVE:
Исходный отчет
Подробное описание уязвимости представлено в исходном отчёте GitLab
Влияние на сервисы Yandex Cloud
Yandex Compute Cloud
Образ GitLab для Yandex Compute Cloud в Yandex Cloud Marketplace был обновлен до актуальной версии.
Уязвимости потенциально подвержены все пользователи Yandex Compute Cloud, которые использовали образы GitLab из Cloud Marketplace либо собственные образы. Таким пользователям необходимо выполнить переустановку системы из актуального образа Cloud Marketplace либо обновление версии GitLab до актуальной согласно официальной инструкции
Если в настоящее время вы не можете выполнить обновление версии GitLab, примените компенсационные меры.
Всем пользователям, которые используют устаревший образ GitLab из Cloud Marketplace, отправлены оповещения с рекомендациями по обновлению.
Yandex Managed Service for GitLab
Для пользователей сервиса Managed Service for GitLab, который находится в тестовом режиме в Yandex Cloud, мы уже обновили существующие и будущие инстансы до актуальной версии.
Всем пользователям, которые используют Yandex Managed Service for GitLab, отправлены оповещения.
Компенсационные меры
Если в настоящее время вы не можете выполнить обновление, то возможно временно закрыть уязвимость с помощью hotpatch
28.01.2022 — CVE-2022-0185 — Heap overflow bug in legacy_parse_param
Описание
Уязвимость CVE-2022-0185
Подробное описание уязвимости представлено в статье
Описание уязвимости CVE-2022-0185
CVSS рейтинг: 7.8.
Влияние
Общее влияние
Влиянию подвержены Linux Kernel-системы по всему миру, начиная с версии ядра 5.1-rc1 до версии 5.16.
Влияние на сервисы Yandex Cloud
Со стороны облака были выполнены обновления в сервисах Yandex Cloud:
- Yandex Cloud Marketplace;
- во внутренней инфраструктуре Yandex Cloud.
Готовим обновления в сервисе Yandex Managed Service for Kubernetes.
Компенсационные меры
Если вы используете облачную группы узлов в сервисе Yandex Managed Service for Kubernetes, дождитесь официального обновления со стороны сервиса и примените его. Либо самостоятельно выполните обновление ОС
Также существуют компенсирующие меры:
- Используйте подготовленный для данной уязвимости daemonset fix
из Yc-solution-library-for-security, который устанавливает настройки в соответствии с рекомендациями Ubuntu. - Используйте официальные советы по обновлению либо по компенсации уязвимости для вашего дистрибутива Linux, например для Ubuntu установите параметр:
sysctl -w kernel.unprivileged_userns_clone=0
. - Используйте seccomp в Kubernetes согласно статье
. - Не назначайте избыточных capabilities и используйте раздел по безопасности k8s из нашего чек-листа для контроля за ними.
28.01.2022 — CVE-2021-4034 – Polkit's pkexec
Описание
Уязвимость CVE-2021-4034
Подробное описание уязвимости представлено в статье
Описание уязвимости CVE-2021-4034
CVSS рейтинг: 7.8.
Влияние
Общее влияние
Влиянию подвержены все Unix-подобные ОС, использующие policykit-1 (0.105) версий ниже, чем указаны в статье, например для Ubuntu
Влияние на сервисы Yandex Cloud
Со стороны облака были выполнены обновления в сервисах Yandex Cloud:
- Yandex Cloud Marketplace;
- во внутренней инфраструктуре Yandex Cloud.
Готовим обновления в сервисе Yandex Managed Service for Kubernetes.
Компенсационные меры
Если вы используете облачную группу узлов в сервисе Yandex Managed Service for Kubernetes, дождитесь официального обновления со стороны сервиса и примените его. Либо самостоятельно выполните обновление ОС
Также существуют компенсирующие меры:
-
Используйте подготовленный для данной уязвимости daemonset fix
из Yc-solution-library-for-security, который устанавливает настройки в соответствии с рекомендациями Ubuntu. -
Для образов из Yandex Cloud Marketplace либо собственных образов в Yandex Compute Cloud используйте официальные советы по обновлению либо по компенсации уязвимости, например для Ubuntu установите права доступа:
chmod 0755 /usr/bin/pkexec
.
29.12.2021 — CVE-2021-45105, CVE-2021-44832 — Отказ в обслуживании и удаленное выполнение кода (Log4j)
Описание
Уязвимость CVE-2021-45105 содержится в библиотеке Apache Log4j, в версиях от 2.0-alpha до 2.16.0 включительно, исключая версию 2.12.3. Версии не защищены от неконтролируемой рекурсии из самореференциальных запросов, эксплуатация уязвимости может привести к ошибке StackOverflowError и отказу в обслуживании (DoS).
Уязвимость CVE-2021-44832 содержится в библиотеке Apache Log4j, в версиях от 2.0-beta7до 2.17.0 включительно, исключая fix releases 2.3.2 and 2.12.4. Версии уязвимы к выполнению удаленных команд (RCE) для злоумышленника с правами на изменение файла конфигурации логирования.
Исходный отчёт от logging.apache.org
Описание уязвимостей CVE-2021-45105
CVSS рейтинг:
- CVE-2021-45105 5.9 (AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)
- CVE-2021-44832 6.6 (AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H)
Влияние
Общее влияние
Библиотека Log4j включена в почти все enterprise-решения Apache Software Foundation, такие как: Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и т.д.
С полным списком ПО, подверженного уязвимости, можно ознакомиться на следующих ресурсах:
- https://github.com/NCSC-NL/log4shell/tree/main/software
- https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Влияние на сервисы Yandex Cloud
Версии библиотеки, подверженные уязвимости, не используются в сервисах Yandex Cloud.
Компенсационные меры
Если в вашей инфраструктуре используется данная библиотека или продукты, которые упомянуты в разделе «Общее влияние», выполните следующие действия.
Log4j 1.x
Log4j 1.x не подвержена уязвимости.
Log4j 2.x
- Java 6 – обновите Log4j до версии 2.3.2.
- Java 7 – обновите Log4j до версии 2.12.4.
- Java 8 (или старше) – обновите Log4j до версии 2.17.1.
- Если в настоящее время вы не можете выполнить обновление библиотеки, убедитесь, что JDBC Appender использует только протокол Java.
Обратите внимание, что этой уязвимости подвержен только файл JAR log4j-core. Приложения, использующие только файл JAR log4j-api без файла JAR log4j-core, не подвержены этой уязвимости.
Также обратите внимание, что Apache Log4j - единственный подпроект Logging Services, подверженный этой уязвимости. На другие проекты, такие как Log4net и Log4cxx, эта уязвимость не влияет.
Источник: https://logging.apache.org/log4j/2.x/security.html
Дополнительные утилиты для проверки присутствия уязвимости log4j в вашей инфраструктуре:
- https://github.com/google/log4jscanner
- https://github.com/bi-zone/Log4j_Detector
17.12.2021 — CVE-2021-45046 – Удаленное выполнение кода (Log4j)
Описание
Уязвимость CVE-2021-45046
Было обнаружено, что исправление для уязвимости CVE-2021-44228
Подробное описание эксплойта и поведения представлено в материале Lunasec
Исходный отчёт от logging.apache.org
Описание уязвимости CVE-2021-45046
CVSSv3.1 рейтинг: 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
Влияние
Общее влияние
Библиотека Log4j включена в почти все enterprise-решения Apache Software Foundation, такие как: Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и т.д.
С полным списком ПО, подверженного уязвимости, можно ознакомиться на следующих ресурсах:
- https://github.com/NCSC-NL/log4shell/tree/main/software
- https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Влияние на сервисы Yandex Cloud
Сервисы, которые использовали библиотеку Yandex Managed Service for Elasticsearch, Yandex Data Proc, а также ряд базовых сервисов платформы были успешно обновлены.
Со стороны Yandex Cloud была собрана информация о пользователях, которые использовали подобные сервисы. Им были отправлены оповещения.
Компенсационные меры
Если в вашей инфраструктуре используется данная библиотека или продукты, которые упомянуты в разделе «Общее влияние», выполните следующие действия.
Log4j 1.x
Log4j 1.x не подвержена уязвимости.
Log4j 2.x
- Java 8 (или старше) – обновите Log4j до версии 2.16.0.
- Java 7 – обновите Log4j до версии 2.12.2.
- Если в настоящее время вы не можете выполнить обновление библиотеки, удалите класс
JndiLookup
из classpathzip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
.
Рекомендуется не включать JNDI в Log4j 2.16.0. Если вам требуется JMS Appender, используйте Log4j 2.12.2.
Обратите внимание, что уязвимости подвержен только файл log4j-core JAR
. Приложения, которые используют файл log4j-api JAR
без файла log4j-core JAR
, не подвережны уязвимости.
Источник: https://logging.apache.org/log4j/2.x/security.html
10.12.2021 — CVE-2021-44228 – Удаленное выполнение кода (Log4Shell, Apache Log4j)
Обновлено 22.12.2021
Описание
Уязвимость CVE-2021-44228
Был обнаружен эксплойт нулевого дня, который приводит к удаленному выполнению кода (RCE) путем записи в журнал определенной строки.
Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена функция message lookup substitution
. Начиная с версии log4j 2.15.0, это поведение отключено по умолчанию.
Подробное описание эксплойта и поведения представлено в материале Lunasec
Исходный отчёт от logging.apache.org: Fixed in Log4j 2.15.0
Описание уязвимости: CVE-2021-44228
CVSSv3.1 рейтинг: 10.0 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C)
Подробнее: https://www.securitylab.ru/vulnerability/527362.php
Влияние
Общее влияние
-
Библиотека Log4j включена в почти все enterprise-решения Apache Software Foundation, такие как: Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и т.д.
-
Уязвимость влияет на такие open-source продукты, как ElasticSearch, Elastic Logstash, the NSA’s Ghidra и т.д.
-
Продукты Hystax подвержены уязвимости, так как используют уязвимую версию Elasticsearch Logstash.
Hystax работает над выпуском новых версий продуктов, в которых будет устранена уязвимость.
Влияние на сервисы Yandex Cloud
Сервисы, которые использовали библиотеку Yandex Managed Service for Elasticsearch, Yandex Data Proc, а также ряд базовых сервисов платформы были успешно обновлены.
Со стороны Yandex Cloud была собрана информация о пользователях, которые использовали подобные сервисы. Им были отправлены оповещения.
Компенсационные меры
Если в вашей инфраструктуре используется данная библиотека или продукты, которые упомянуты в разделе «Общее влияние», выполните следующие действия.
Log4j 1.x
Log4j 1.x не поддерживает Lookups
Приложения, которые используют Log4j 1.x, подвержены данной уязвимости только в случае, если используют JNDIJMSAppender
.
Log4j 2.x
- Java 8 (или старше) – обновите Log4j до версии 2.16.0.
- Java 7 – обновите Log4j до версии 2.12.2, как только эта версия станет доступна.
- Если в настоящее время вы не можете выполнить обновление библиотеки, удалите класс
JndiLookup
из classpathzip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
.
Обратите внимание, что уязвимости подвержен только файл log4j-core JAR
. Приложения, которые используют файл log4j-api JAR
без файла log4j-core JAR
, не подвережны уязвимости.
Источник: https://logging.apache.org/log4j/2.x/security.html
Hystax
Hystax Acura Controller: для UDP-порта 12201 в направлении ingress разрешите трафик только для списка IP-адресов источника, которые принадлежат агентам репликации.
Если в вашей инфраструктуре Hystax Acura Controller установлен за балансировщиком нагрузки, примените указанное выше правило фаервола на соответствующий балансировщик.
12.11.2021 — CVE-2021-22205 — удаленное выполнение кода через уязвимость в GitLab
Описание
В GitLab версии 11.9 и выше обнаружена уязвимость
Уязвимость вызвана некорректной обработкой загружаемых изображений внешним парсером на базе библиотеки ExifTool (CVE-2021-22204
Проблема была устранена в версиях GitLab 13.10.3, 13.9.6 и 13.8.8.
Влияние на сервисы Yandex Cloud
Образ GitLab в Yandex Cloud Marketplace обновлен до актуальной версии.
Всем пользователям, которые используют устаревший образ GitLab, отправлены оповещения с рекомендациями по обновлению.
Пользователи сервиса Yandex Managed Service for GitLab не были подвержены уязвимости, т.к. в рамках сервиса используется актуальная версия GitLab.
Компенсационные меры
Если вы используете устаревший образ GitLab из Yandex Cloud Marketplace, либо собственный образ, обновите
Дополнительная информация
- Action needed by self-managed customers in response to CVE-2021-22205
- GitLab CE CVE-2021-22205 in the wild
12.10.2021 – CVE-2021-25741 – Возможность получить доступ к файловой системе хоста
Описание
В Kubernetes обнаружена уязвимость
Влияние на сервисы Yandex Cloud
Yandex Managed Service for Kubernetes не поддерживает анонимный доступ в кластер и не подвержен уязвимости со стороны внешнего нарушителя.
Компенсационные меры
Для устранения вектора атак со стороны внутреннего нарушителя обновите все существующие кластеры и группы узлов в сервисе до версии 1.19 или выше. Если ваши кластеры и группы узлов уже обновлены до версии 1.19 или выше, обновите ревизии. Обновление, которое закрывает уязвимости, доступно во всех релизных каналах.
Также рекомендуем:
- Автоматически обновлять кластеры и группы узлов до последних версий или ревизий.
- Планировать ручные обновления хотя бы раз в месяц, если вы не можете применять автоматические обновления.
- Запретить запускать поды от имени пользователя root для недоверенных загрузок.
Для этого можно использовать следующие инструменты:
Дополнительная информация
Чеклист для безопасной конфигурации Kubernetes доступен по ссылке.
03.03.2021 — CVE-2021-21309 — удаленное выполнение кода через уязвимость в Redis
Описание
В 32-битной версии Redis версии 4.0 и выше обнаружена уязвимость типа integer overflow, которая при определенных условиях может привести к удаленному выполнению кода.
Влияние на сервисы Yandex Cloud
Yandex Managed Service for Redis использует 64-битную версию Redis и не подвержен уязвимости.
26.01.2021 — CVE-2021-3156 — повышение привилегий через уязвимости в sudo.
Описание
В приложении sudo
был найден ряд уязвимостей CVE-2021-3156root
.
Влияние на сервисы Yandex Cloud
Были обновлены следующие образы операционных систем Linux:
- все образы от издателя Yandex Cloud, доступные в Cloud Marketplace;
- образ Container Optimized Image;
- образ, который используется для создания узлов в сервисе Managed Service for Kubernetes;
- образы, которые используются для создания кластеров управляемых баз данных;
- образ, который используется для создания кластеров Yandex Data Proc.
Дополнительная информация
- Buffer overflow in command line unescaping
- CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit)
24.12.2020 — CVE-2020-25695 — повышение привилегий в PostgreSQL
Описание
В системе управления базами данных PostgreSQL была обнаружена уязвимость CVE-2020-25695
Влияние на сервисы Yandex Cloud
Все системы управления базами данных PostgreSQL, используемые в рамках сервиса Yandex Managed Service for PostgreSQL, были обновлены
19.11.2020 — Отказ от устаревших TLS протоколов
Описание
Чтобы повысить безопасность передачи данных, Yandex Cloud рекомендует всем пользователям перейти на использование технологий, которые обеспечивают шифрование по протоколу TLS 1.2
Влияние на сервисы Yandex Cloud
Все сервисы Yandex Cloud поддерживают TLS 1.2 и выше. Поддержка устаревших протоколов будет постепенно прекращена. Рекомендуем заранее переключить существующие приложения на использование актуальных версий TLS.
20.09.2020 — CVE-2020-1472 (aka Zerologon)
Описание
Уязвимость в Windows Netlogon Remote Protocol позволяет неаутентифицированному атакующему с сетевым доступом к контроллеру домена скомпрометировать все службы идентификации Active Directory.
Исходный отчёт Secura: Zerologon
Описание уязвимости, составленное Microsoft: CVE-2020-1472
Руководство по управлению изменениями от Microsoft: Управление изменениями в подключениях безопасного канала Netlogon, связанными с CVE-2020-1472
Влияние на сервисы Yandex Cloud
Образы операционных систем, доступные пользователям Yandex Compute Cloud, уже содержат обновления, устраняющие уязвимость. Все виртуальные машины, созданные в Yandex Compute Cloud после выхода этого сообщения, защищены от описанной атаки.
Компенсационные меры
В дополнение к обновлениям, для ограничения доступа к контроллеру домена из недоверенных сетей используйте следующие системы контроля доступа к сети:
- Windows Firewall или группы безопасности;
- перемещение контроллера домена за NAT-gateway.
15.06.2020 — Special Register Buffer Data Sampling Attack (aka CrossTalk)
Описание
Для некоторых моделей процессоров Intel компания VUSec обнаружила новую атаку
Отчет от Intel: Deep Dive: Special Register Buffer Data Sampling
Влияние на сервисы Yandex Cloud
Модели процессоров, используемые в Yandex Cloud, не подвержены атаке CrossTalk.
28.08.2019 — TCP SACK
Описание
Специалисты Netflix обнаружили три уязвимости в ядре Linux:
Оригинальный отчёт от Netflix: NFLX-2019-001
Разбор уязвимости от Red Hat: TCP SACK PANIC
Влияние на сервисы Yandex Cloud
- Инфраструктура Yandex Cloud была оперативно защищена и обновлена.
- Образы операционных систем, доступные пользователям Yandex Compute Cloud, были обновлены как только появились соответствующие исправления. Таким образом, новые виртуальные машины, создаваемые в Yandex Compute Cloud, не подвержены указанным уязвимостям.
19.08.2019 — Несколько доменов Yandex Object Storage внесены в Public Suffix List
Описание
Список доменов, внесенных в Public Suffix List:
- yandexcloud.net
- storage.yandexcloud.net
- website.yandexcloud.net
Домены из списка Public Suffix List получают свойства доменов верхнего уровня, как, например, домены .ru или .com:
- Браузеры не будут сохранять cookie, установленные на перечисленные домены.
- Браузеры не позволят поменять заголовок запроса
Origin
страницы на корневые домены.
Влияние на сервисы Yandex Cloud
Данные изменения позволят повысить безопасность пользователей Yandex Cloud.