2022-2896: containerd, moby-engine: Mehrere Schwachstellen ermöglichen u. a. einen Server-Side-Request-Forgery-Angriff

Historie:

Version 1 (2022-12-21 11:59)

Neues Advisory

Version 2 (2023-01-03 08:23)

Für Fedora 37 steht ein weiteres Sicherheitsupdate in Form des Pakets 'moby-engine-20.10.22-1.fc37' im Status 'testing' zur Verfügung, womit neben der Schwachstelle CVE-2022-29153 nun ebenfalls CVE-2022-3920 adressiert wird. Das frühere Sicherheitsupdate für Fedora 37 verbleibt im Status 'stable'.

Betroffene Software

Entwicklung
Netzwerk

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen sowie einen Denial-of-Service (DoS)- und Server-Side-Request-Forgery (SSRF)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Für Fedora 36 und 37 stehen Sicherheitsupdates in Form von 'containerd-1.6.14-2'-, 'golang-github-containerd-cgroups-1.0.4-3'- und 'moby-engine-20.10.21-1'-Paketen im Status 'testing' zur Verfügung.

Schwachstellen:

CVE-2022-23471

Schwachstelle in containerd ermöglicht Denial-of-Service-Angriff

CVE-2022-29153

Schwachstelle in HashiCorp Consul und Consul Enterprise / Moby ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2022-3920

Schwachstelle in HashiCorp Consul und Consul Enterprise / Moby ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.