摘要:
cri-o security update
安全等级: High
公告ID: KylinSec-SA-2024-1527
发布日期: 2024年4月12日
关联CVE: CVE-2022-41723 CVE-2022-4318 CVE-2023-39325 CVE-2023-48795
基于开放容器倡议(Open Container Initiative)的Kubernetes容器运行时接口(Container Runtime Interface)实现。
安全修复项:
一个恶意构造的HTTP/2流可能导致HPACK解码器消耗过多的CPU资源,从而仅通过少量的小请求就能造成拒绝服务攻击。(CVE-2022-41723)
在cri-o中发现了一个漏洞。此问题允许通过使用特殊构造的环境变量在/etc/passwd中添加任意行。(CVE-2022-4318)
一个恶意的HTTP/2客户端可以快速创建请求并立即重置它们,从而导致服务器资源消耗过多。虽然请求的总数受到http2.Server.MaxConcurrentStreams设置的限制,但重置一个正在进行的请求允许攻击者在现有请求仍在执行时创建新请求。应用修复后,HTTP/2服务器现在将同时执行的处理器协程数量限制为流并发限制(MaxConcurrentStreams)。当达到限制时到达的新请求(这只能在客户端重置了一个正在进行的请求后发生)将被排队,直到一个处理器退出。如果请求队列变得过大,服务器将终止连接。此问题也在golang.org/x/net/http2中得到了修复,适用于手动配置HTTP/2的用户。默认的流并发限制是每个HTTP/2连接250个流(请求)。此值可以使用golang.org/x/net/http2包进行调整;请参阅Server.MaxConcurrentStreams设置和ConfigureServer函数。(CVE-2023-39325)
OpenSSH中带有某些OpenSSH扩展的SSH传输协议(在OpenSSH 9.6之前以及其他产品中发现)允许远程攻击者绕过完整性检查,从而导致某些数据包被省略(从扩展协商消息中),客户端和服务器因此可能建立一个连接,该连接的一些安全功能已被降级或禁用,即所谓的Terrapin攻击。这发生在由这些扩展实现的SSH二进制数据包协议(BPP)错误处理握手阶段以及序列号的使用上。例如,存在针对SSH使用ChaCha20-Poly1305(以及CBC与Encrypt-then-MAC)的有效攻击。绕过发生在chacha20-poly1305@openssh.com中(如果使用CBC),则发生在-etm@openssh.com MAC算法中。这也影响了Maverick Synergy Java SSH API 3.1.0-SNAPSHOT之前的版本、Dropbear 2022.83之前的版本、Erlang/OTP中5.1.1之前的Ssh版本、PuTTY 0.80之前的版本、AsyncSSH 2.14.2之前的版本、golang.org/x/crypto 0.17.0之前的版本、libssh 0.10.6之前的版本、libssh2 1.11.0之前的版本、Thorn Tech SFTP Gateway 3.4.6之前的版本、Tera Term 5.1之前的版本、Paramiko 3.4.0之前的版本、jsch 0.2.15之前的版本、SFTPGo 2.5.6之前的版本、Netgate pfSense Plus 23.09.1之前的版本、Netgate pfSense CE 2.7.2之前的版本、HPN-SSH 18.2.0之前的版本、ProFTPD 1.3.8b之前的版本(以及1.3.9rc2之前的版本)、ORYX CycloneSSH 2.3.4之前的版本、NetSarang XShell 7 Build 0144之前的版本、CrushFTP 10.6.0之前的版本、ConnectBot SSH库2.2.22之前的版本、Apache MINA sshd 2.11.0之前的版本、sshj 0.37.0之前的版本、TinySSH 20230101之前的版本、trilead-ssh2 6401、LANCOM LCOS和LANconfig、FileZilla 3.66.4之前的版本、Nova 11.8之前的版本、PKIX-SSH 14.4之前的版本、SecureCRT 9.4.3之前的版本、Transmit5 5.10.4之前的版本、Win32-OpenSSH 9.5.0.0p1-Beta之前的版本、WinSCP 6.2.2之前的版本、Bitvise SSH Server 9.32之前的版本、Bitvise SSH Client 9.33之前的版本、KiTTY 0.76.1.13之前的版本、Ruby的net-ssh gem 7.2.0、Node.js的mscdex ssh2模块1.15.0之前的版本、Rust的thrussh库0.35.1之前的版本以及Rust的Russh crate 0.40.2之前的版本。(CVE-2023-48795)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
