containerd CRI stream server 存在拒绝服务漏洞

漏洞描述

containerd 是一个开源的容器运行环境，containerd CRI 是一个使 kubelet 或 crictl 等服务能够使用 containerd 容器运行的接口，stream server 用于处理容器 IO 。

containerd 的受影响版本中的 CRI stream server 在处理用户调整终端大小的 tty 请求时存在不受控制的资源消耗漏洞，漏洞源于 CRI stream server 会启动一个 goroutine 线程来处理用户的 tty 请求，当用户的进程由于意外（如错误命令）无法启动时，该 goroutine 线程将在没有接收者的情况下等待发送（挂起），从而导致内存泄漏。攻击者可通过发送恶意的 tty 请求造成 containerd 容器拒绝服务。

漏洞名称	containerd CRI stream server 存在拒绝服务漏洞
漏洞类型	拒绝服务
发现时间	2022-12-08
漏洞影响广度	小
MPS编号	MPS-2022-1898
CVE编号	CVE-2022-23471
CNVD编号	-

影响范围

containerd@(-∞, 1.5.16)

containerd@[1.6.0, 1.6.12)

修复方案

升级containerd到 1.5.16 或 1.6.12 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-1898

https://nvd.nist.gov/vuln/detail/CVE-2022-23471

https://github.com/containerd/containerd/security/advisories/GHSA-2qjp-425j-52j9

https://github.com/containerd/containerd/commit/a05d175400b1145e5e6a735a6710579d181e7fb0

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc