CVE-2022-31030

ALT: (7.5)

CVSS3: 6.5

containerd és vulnerable a una denegació de servei, causada per un defecte en la implementació de CRI. Mitjançant l’enviament d’una sol·licitud especialment dissenyada utilitzant l’API ExecSync, un atacant remot podria explotar aquesta vulnerabilitat per a fer que containerd consumeixi tota la memòria disponible en l’equip, i resulta en una condició de denegació de servei.

Sistemes Afectats

• containerd containerd 1.6.0
• containerd containerd 1.5.12
• containerd containerd 1.6.1
• containerd containerd 1.6.2
• containerd containerd 1.6.3
• containerd containerd 1.6.4
• containerd containerd 1.6.5

Remediació
Actualitza a l’última versió de containerd (1.5.13, 1.6.6 o posterior), disponible en el repositori GIT de containerd.

Referències

• https://seclists.org/oss-sec/2022/q2/174
• https://github.com/containerd/containerd/security/advisories/GHSA-5ffw-gxpp-mxpf
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31030