Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-01907

CVSS: 5.2

19.11.2020

Уязвимость среды выполнения контейнеров Containerd, связанная с отсутствием проверки привилегий контейнеров c UID 0 в том же пространстве имен, что и shim, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

Уязвимость среды выполнения контейнеров Containerd связана с отсутствием проверки привилегий контейнеров c UID 0 в том же пространстве имен, что и shim. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	19.11.2020
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Манипулирование ресурсами
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для Containerd: Обновление программного обеспечения до 1.4.4~ds1-2 или более поздней версии Для Debian: Обновление программного обеспечения (пакета containerd) до 1.4.4~ds1-1 или более поздней версии Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2020-15257 Для Ubuntu: https://ubuntu.com/security/notices/USN-4653-2 https://ubuntu.com/security/notices/USN-4653-1 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LNKXLOLZWO5FMAPX63ZL7JNKTNNT5NQD/ Для ОС Альт 8 СП: Обновление программного обеспечения до актуальной версии Для ОСОН Основа: Обновление программного обеспечения docker.io до версии 18.09.1+dfsg1-7.1+deb10u3.osnova5 Для ОС ОН «Стрелец»: Обновление программного обеспечения docker.io до версии 18.09.1+dfsg1-7.1+deb10u3.osnova5

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-669	Incorrect resource transfer between spheres

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2020-15257	containerd-shim API Exposed to Host Network Containers

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
3.6	LOW	2.0	AV:L/AC:L/Au:N/C:P/I:P/A:N
5.2	MEDIUM	3.0	AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2020-15257

Вендор:	Canonical Ltd. Сообщество свободного программного обеспечения Fedora Project Cloud Native Computing Foundation Red Hat Inc. АО «ИВК» АО "НППКТ" АО «Концерн ВНИИНС»
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	Ubuntu Debian GNU/Linux Fedora Containerd Red Hat 3scale API Management Platform Альт 8 СП ОСОН ОСнова Оnyx ОС ОН «Стрелец»
Версия ПО:	16.04 LTS (Ubuntu) 18.04 LTS (Ubuntu) 10 (Debian GNU/Linux) 20.04 LTS (Ubuntu) 20.10 (Ubuntu) 33 (Fedora) до 1.3.9 (Containerd) от 1.4.0 до 1.4.3 (Containerd) 2 (Red Hat 3scale API Management Platform) - (Альт 8 СП) до 2.1 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
ОС и аппаратные платформы:	Ubuntu (16.04 LTS) Ubuntu (18.04 LTS) Debian GNU/Linux (10) Ubuntu (20.04 LTS) Ubuntu (20.10) Fedora (33) ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:	https://access.redhat.com/security/cve/CVE-2020-15257 https://altsp.su/obnovleniya-bezopasnosti/ https://github.com/containerd/containerd/commit/4a4bb851f5da563ff6e68a83dc837c7699c469ad https://github.com/containerd/containerd/releases/tag/v1.4.3 https://github.com/containerd/containerd/security/advisories/GHSA-36xw-fx78-c5r4 https://github.com/nccgroup/abstractshimmer https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LNKXLOLZWO5FMAPX63ZL7JNKT... https://nvd.nist.gov/vuln/detail/CVE-2020-15257 https://security-tracker.debian.org/tracker/CVE-2020-15257 https://ubuntu.com/security/notices/USN-4653-1 https://ubuntu.com/security/notices/USN-4653-2 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-01907

BDU:2021-01907

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей