推广 热搜: 京东  联通  iphone11  摄像头  企业存储  iPhone  XSKY  京东智能采购  网络安全  自动驾驶 

云安全日报210610:红帽OpenShift云应用平台发现符号链接攻击漏洞,需要尽快升级

   日期:2021-06-12     来源:TechWeb.com.cn    作者:itcg    浏览:429    我要评论    
导读:Red Hat OpenShift Container Platform(红帽OpenShift容器平台)是美国红帽(Red Hat)公司的一套可帮助企业在物理、虚拟和公共云基�

Red Hat OpenShift Container Platform(红帽OpenShift容器平台)是美国红帽(Red Hat)公司的一套可帮助企业在物理、虚拟和公共云基础架构之间开发、部署和管理现有基于容器的应用程序的应用平台。它采用企业级Kubernetes技术构建,专为内部部署或私有云部署而设计,可以实现全堆栈自动化运维,以管理混合云和多云部署。

6月9日,RedHat发布了安全更新,修复了红帽OpenShift容器平台中发现的符号链接攻击漏洞。以下是漏洞详情:

漏洞详情

来源:https://access.redhat.com/errata/RHSA-2021:2150

CVE-2021-30465 CVSS评分:7.5 严重程度:中

符号链接(软链接)是一类特殊的文件, 其包含有一条以绝对路径或者相对路径的形式指向其它文件或者目录的引用。符号链接最早在4.2BSD版本中出现(1983年)。今天POSIX操作系统标准、大多数类Unix系统、Windows Vista、Windows 7都支持符号链接。Windows 2000与Windows XP在某种程度上也支持符号链接。

符号链接攻击是一种本地攻击,但符号链攻击会造成非常严重的安全问题。例如:替换SSH公钥文件、操作系统敏感信息泄露甚至直接夺取操作系统root权限。

runc包容易受到符号链接交换攻击,攻击者可以通过这种攻击请求看似无害的容器配置,从而导致主机文件系统被绑定安装到容器中。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。

受影响产品和版本

Red Hat OpenShift Container Platform 3.11 x86_64

Red Hat OpenShift Container Platform for Power 3.11 ppc64le

解决方案

红帽OpenShift容器平台3.11.452 版现已发布,此版本包含 Red Hat OpenShift Container Platform 3.11 的安全更新,这些更新修复了多个错误并添加了增强功能。建议所有 OpenShift Container Platform 3.11 用户升级到这些更新的软件包和镜像。有关此版本的容器映像,请参阅以下建议:

https://access.redhat.com/errata/RHBA-2021:2149

查看更多漏洞信息 以及升级请访问官网:

https://access.redhat.com/security/security-updates/#/security-advisories

 
反对 0举报 0 收藏 0 打赏 0评论 0
 
更多>同类资讯
0相关评论

头条阅读
推荐图文
相关资讯
网站首页  |  物流配送  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  RSS订阅  |  违规举报  |  京ICP备14047533号-2
Processed in 0.172 second(s), 11 queries, Memory 1.49 M