Go-библиотека оказалась «проводником» для DoS-атак на два контейнерных движка
А ведь на основе этой библиотеки создавался софт, который занимался оркестровкой контейнеризированных приложений Kubernetes.
Уязвимость в Go-библиотеке containers/storage позволила провести хакерскую атаку. В результате неё контейнерные движки CRI-O и Podman приводились в состояние «отказа в обслуживании» (DoS). Об этом пишет издание SecurityLab.
«Дыра» используется в тот момент, когда облачный контейнер извлекает вредоносный образ из реестра. Дополнительной «пикантности» ситуации добавляет тот факт, что containers/storage является основой софта для оркестровки контейнеризированных приложений Kubernetes.
С помощью данной уязвимости злоумышленники могут поставить под угрозу любую контейнерную инфраструктуру, которая полагается на уязвимые движки контейнеров, включая Kubernetes и OpenShift.
CRI-O и Podman, подверженные атакам, это образы контейнеров. Они, по своей сути, похожи на Docker. Они также используются для выполнения действий и управления контейнерами в облаке.
Разработчики исправили вышеописанную уязвимость в версии контейнера 1.28.1 в CRI-O 1.20.2 и Podman 3.1.0.
Источник: SecurityLab
511 открытий513 показов
Рассказываем, какие популярные и не очень языки программирования нужно знать, чтобы заниматься разработкой в IoT.
Специалисты обнаружили в Linux дыру, которая позволяла злоумышленникам красть пароли и подменять данные в буфере обмена.
Рассказали, какими преимуществами обладает Python для разработчиков разного уровня подготовки от “Trainee” до “Senior”.
Во втором раунде батла лучших языков программирования в 2023 году встретились Kotlin и Java, Rust и Golang. Голосуйте сердцем!