Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 16 Aprile 2021 05:49
Un bug nelle librerie Go su cui si basa Kubernetes potrebbe portare a denial of service (DoS) per i motori dei contenitori CRI-O e Podman.
Si tratta della CVE-2021-20291 che interessa la libreria Go denominata containers/storage, secondo Aviv Sasson, il ricercatore di sicurezza del team dell’Unità 42 di Palo Alto che ha trovato il difetto.
Tale bug può essere attivato inserendo un’immagine dannosa all’interno di un registro; la condizione DoS viene creata quando quell’immagine viene estratta dal registro da un utente ignaro.
“Attraverso questa vulnerabilità, i malintenzionati potrebbero mettere a repentaglio qualsiasi infrastruttura containerizzata che si basa su questi motori di container vulnerabili, tra cui Kubernetes e OpenShift”, ha detto mercoledì.
La libreria di containers/storage viene utilizzata da CRI-O e Podman per gestire l’archiviazione e il download delle immagini dei contenitori.
Quando la vulnerabilità viene attivata, CRI-O non riesce a estrarre nuove immagini, avviare nuovi contenitori (anche se sono già stati estratti), recuperare elenchi di immagini locali o uccidere contenitori, secondo il ricercatore.
L’impatto potrebbe essere abbastanza ampio: “A partire da Kubernetes v1.20, Docker è obsoleto e gli unici motori di container supportati sono CRI-O e Containerd”, ha spiegato Sasson.
“Questo porta a una situazione in cui molti cluster utilizzano CRI-O e sono vulnerabili.
In uno scenario di attacco, un avversario può estrarre un’immagine dannosa su più nodi diversi, bloccandoli tutti e rompendo il cluster senza lasciare un modo per risolvere il problema se non riavviare i nodi. “
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneÈ stato rilasciato uno strumento che consente il monitoraggio discreto dell’attività degli utenti di WhatsApp e Signal utilizzando solo un numero di telefono. Il meccanismo di monitoraggio copre o...
Il MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
