cri-o Container Memory Exhaustion 拒绝服务漏洞

CVE编号

CVE-2019-14891

利用情况

暂无

补丁情况

N/A

披露时间

2019-11-26
漏洞描述
由于所有与pod相关的进程都放在同一个内存cgroup中,因此在cri-o中发现了一个缺陷。如果工作负载进程触发cgroup的内存不足(OOM)条件,则可能导致容器管理(conmon)进程被终止。攻击者可能会利用此漏洞在cri-o主机上获得主机网络访问权限。
解决建议
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://cri-o.io/
参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14891
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 kubernetes cri-o * Up to
(excluding)
1.16.1
运行在以下环境
应用 redhat openshift_container_platform 3.11 -
运行在以下环境
应用 redhat openshift_container_platform 4.1 -
运行在以下环境
应用 redhat openshift_container_platform 4.2 -
CVSS3评分
5.0
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L
CWE-ID 漏洞类型
CWE-754 对因果或异常条件的不恰当检查
阿里云安全产品覆盖情况