Бюллетени безопасности

На этой странице приводятся рекомендации специалистов Yandex.Cloud по вопросам безопасности.

12.11.2021 — CVE-2021-22205 — удаленное выполнение кода через уязвимость в GitLab

Описание

В версиях GitLab 11.9 и выше обнаружена уязвимость CVE-2021-22205, которая позволяет удаленно выполнять произвольные команды. Атака может быть проведена через отправку двух запросов, не требующих прохождения аутентификации.

Уязвимость вызвана некорректной обработкой загружаемых изображений внешним парсером на базе библиотеки ExifTool (CVE-2021-22204).

Проблема была устранена в версиях GitLab 13.10.3, 13.9.6 и 13.8.8.

Влияние на сервисы Yandex.Cloud

Уязвимости подвержены все пользователи Yandex Compute Cloud, которые используют устаревший образ GitLab из Yandex Cloud Marketplace, либо собственный образ. Таким пользователям необходимо выполнить обновления версии GitLab до актуальной.

Для устранения уязвимости со стороны Yandex.Cloud предприняты следующие меры:

• Образ GitLab в Yandex Cloud Marketplace временно удален и будет обновлен до актуальной версии.
• Всем пользователям, которые используют устаревший образ GitLab, отправлены оповещения с рекомендациями по обновлению.

Пользователи сервиса Yandex Managed Service for GitLab не подвержены уязвимости, т.к. в рамках сервиса используется актуальная версия GitLab.

Компенсационные меры

Если вы используете устаревший образ GitLab из Yandex Cloud Marketplace, либо собственный образ, обновите его до актуальной версии. Если по каким-то причинам вы не можете обновить версию GitLab, используйте hotpatch.

Дополнительная информация

• Action needed by self-managed customers in response to CVE-2021-22205
• GitLab CE CVE-2021-22205 in the wild

12.10.2021 – CVE-2021-25741 – Возможность получить доступ к файловой системе хоста

Описание

В Kubernetes обнаружена уязвимость, которая позволяет получить несанкционированный доступ к файловой системе ноды при авторизации пользователя в кластере.

Влияние на сервисы Yandex.Cloud

Yandex Managed Service for Kubernetes не поддерживает анонимный доступ в кластер и не подвержен уязвимости со стороны внешнего нарушителя.

Компенсационные меры

Для устранения вектора атак со стороны внутреннего нарушителя обновите все существующие кластеры и группы узлов в сервисе до версии 1.19 или выше. Если ваши кластеры и группы узлов уже обновлены до версии 1.19 или выше, обновите ревизии. Обновление, которое закрывает уязвимости, доступно во всех релизных каналах.

Также рекомендуем:

• Автоматически обновлять кластеры и группы узлов до последних версий или ревизий.
• Планировать ручные обновления хотя бы раз в месяц, если вы не можете применять автоматические обновления.
• Запретить запускать поды от имени пользователя root для недоверенных загрузок.

Для этого можно использовать следующие инструменты:

• OPA Gatekeeper
• Kyverno

Дополнительная информация

Чеклист для безопасной конфигурации Kubernetes доступен по ссылке.

03.03.2021 — CVE-2021-21309 — удаленное выполнение кода через уязвимость в Redis

Описание

В 32-битной версии Redis версии 4.0 и выше обнаружена уязвимость типа integer overflow, которая при определенных условиях может привести к удаленному выполнению кода.

Влияние на сервисы Yandex.Cloud

Yandex Managed Service for Redis использует 64 битную версию Redis и не подвережен уязвимости.

26.01.2021 — CVE-2021-3156 - повышение привилегий через уязвимости в sudo.

Описание

В приложении sudo был найден ряд уязвимостей CVE-2021-3156, которые позволяют непривилигированному пользвателю системы повысить свои привилегии до пользователя root.

Влияние на сервисы Yandex.Cloud

Были обновлены следующие образы операционных систем Linux:

• все образы от издателя Yandex.Cloud, доступные в Cloud Marketplace;
• образ Container Optimized Image;
• образ, который используется для создания узлов в сервисе Managed Service for Kubernetes;
• образы, которые используются для создания кластеров управляемых баз данных;
• образ, который используется для создания кластеров Data Proc.

Дополнительная информация

• Buffer overflow in command line unescaping
• CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit)

24.12.2020 — CVE-2020-25695 - повышение привилегий в PostgreSQL

Описание

В системе управления базами данных PostgreSQL была обнаружена уязвимость CVE-2020-25695, которая позволяет непревилигерованному пользователю, при наличии у него прав на создание не временных объектов, выполнять произвольные SQL запросы от имени суперпользователя.

Влияние на сервисы Yandex.Cloud

Все системы управления базами данных PostgreSQL, используемые в рамках сервиса Yandex Managed Service for PostgreSQL, были обновлены.

19.11.2020 — Отказ от устаревших TLS протоколов

Описание

Чтобы повысить безопасность передачи данных, Yandex.Cloud рекомендует всем пользователям перейти на использование технологий, которые обеспечивают шифрование по протоколу TLS 1.2 и выше.

Влияние на сервисы Yandex.Cloud

Все сервисы Yandex.Cloud поддерживают TLS 1.2 и выше. Поддержка устаревших протоколов будет постепенно прекращена. Рекомендуем заранее переключить существующие приложения на использование актуальных версий TLS.

20.09.2020 — CVE-2020-1472 (aka Zerologon)

Описание

Уязвимость в Windows Netlogon Remote Protocol позволяет неаутентифицированному атакующему с сетевым доступом к контроллеру домена скомпрометировать все службы идентификации Active Directory.

Исходный отчёт Secura: Zerologon.

Описание уязвимости, составленное Microsoft: CVE-2020-1472.

Руководство по управлению изменениями от Microsoft: Управление изменениями в подключениях безопасного канала Netlogon, связанными с CVE-2020-1472.

Влияние на сервисы Yandex.Cloud

Образы операционных систем, доступные пользователям Yandex Compute Cloud, уже содержат обновления, устраняющие уязвимость. Все виртуальные машины, созданные в Yandex Compute Cloud после выхода этого сообщения, защищены от описанной атаки.

Компенсационные меры

В дополнение к обновлениям, для ограничения доступа к контроллеру домена из недоверенных сетей используйте следующие системы контроля доступа к сети:

• Windows Firewall или группы безопасности;
• перемещение контроллера домена за NAT-gateway.

15.06.2020 — Special Register Buffer Data Sampling Attack (aka CrossTalk)

Описание

Для некоторых моделей процессоров Intel компания VUSec обнаружила новую атаку под названием Special Register Buffer Data Sampling Attack (или CrossTalk). Данная атака позволяет злонамеренному процессу получить результаты, возвращаемые инструкциями RDRAND и RDSEED из другого процесса, при этом злонамеренный и легитимный процессы могут выполняться на разных физических ядрах процессора. Атаке присвоен номер CVE-2020-0543.

Отчет от Intel: Deep Dive: Special Register Buffer Data Sampling.

Влияние на сервисы Yandex.Cloud

Модели процессоров, используемые в Yandex.Cloud, не подвержены атаке CrossTalk.

28.08.2019 — TCP SACK

Описание

Специалисты Netflix обнаружили три уязвимости в ядре Linux:

• CVE-2019-11477
• CVE-2019-11478
• CVE-2019-11479

Оригинальный отчёт от Netflix: NFLX-2019-001.

Разбор уязвимости от Red Hat: TCP SACK PANIC.

Влияние на сервисы Yandex.Cloud

• Инфраструктура Yandex.Cloud была оперативно защищена и обновлена.
• Образы операционных систем, доступные пользователям Yandex Compute Cloud, были обновлены как только появились соответствующие исправления. Таким образом, новые виртуальные машины, создаваемые в Yandex Compute Cloud, не подвержены указанным уязвимостям.

19.08.2019 — Несколько доменов Yandex Object Storage внесены в Public Suffix List

Описание

Список доменов, внесенных в Public Suffix List:

• yandexcloud.net
• storage.yandexcloud.net
• website.yandexcloud.net

Домены из списка Public Suffix List получают свойства доменов верхнего уровня, как, например, домены .ru или .com:

• Браузеры не будут сохранять сookie, установленные на перечисленные домены.
• Браузеры не позволят поменять заголовок запроса Origin страницы на корневые домены.

Больше информации можно найти в нашем блоге.

Влияние на сервисы Yandex.Cloud

Данные изменения позволят повысить безопасность пользователей Yandex.Cloud.