cri-oの脆弱性(High: CVE-2022-1708)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

06/06/2022にcri-oの脆弱性(High: CVE-2022-1708)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



[過去の関連リンク]


Priority

CVE番号 影響するバージョン 一次情報源 Priority CVSS Score / CVSS Vector
CVE-2022-1708 cri-o < 1.24.1, 1.23.3, 1.22.5, v1.21.8, v1.20.8, v1.19.7 Node DOS by way of memory exhaustion through ExecSync request

Vendor: High

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1708
    • DoS(segfault crash)の可能性
    • ExecSyncリクエストはコンテナ内でコマンドを実行しKubeletに出力を行います。これはPod中でreadiness pod/liveness podに使用されます。CRI-OがExecSyncコマンドを実行する際にはconmonを使用します。CRI-Oはconmonに対してプロセスをスタートするように頼み、conmonは出力をディスクに書き込みます。CRI-Oは出力を読み込みKubeletに返します。

      コマンドの出力結果が十分大きいとき、nodeのメモリ(あるいはディスク容量)を枯渇させる可能性があります。PoCが一次情報源に公開されています。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

日々のメモを更新しています。

セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。

前へ

Apache HTTP Serverの脆弱性情報(Moderate: CVE-2022-26377, Low: CVE-2022-28330, CVE-2022-28614, CVE-2022-28615, CVE-2022-29404, CVE-2022-30522, CVE-2022-30556, CVE-2022-31813 )と2.4.54リリース

次へ

Linux Kernelのfanotifyでの脆弱性(Moderate: CVE-2022-1998)