从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-9676 2. 公开日期:2024年10月15日 3. 最近修改日期:2024年10月15日 4. 严重性:中等 5. 描述:一个在Podman、Buildah和CRI-O中的容器/存储库中的符号链接遍历漏洞,可能导致Podman、Buildah和CRI-O挂起,并通过OOM kill导致服务拒绝(DoS)。该漏洞允许攻击者通过自动分配的用户命名空间(- - usersns=auto)在Podman和Buildah中运行恶意镜像,从而读取容器内的/etc/passwd文件,并可能导致容器/存储库读取主机上的任意文件。 6. 额外信息: - Bugzilla编号:2317467 - CWE编号:22 - FAQ:关于CVE-2024-9676的常见问题解答 7. 受影响的包和Red Hat安全补丁: - OpenShift Developer Tools and Services - Red Hat Enterprise Linux 7 - Red Hat Enterprise Linux 8 - Red Hat Enterprise Linux 9 - skopeo - podman - buildah - container-tools:rhel8/buidlah - container-tools:rhel8/podman - container-tools:rhel8/skopeo 8. CVSS v3评分: - CVSS v3 Base Score:6.5 - CVSS v3 Vector:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 9. 常见问题解答: - 为什么Red Hat的CVSS v3评分或影响与其他供应商不同? - 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布修复? - 如果我的产品被列为“不会修复”,我该怎么办? - 如果我的产品被列为“修复推迟”,我该怎么办? - 什么是缓解措施? - 我有Red Hat产品,但不在上述列表中,它是否受影响? - 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? - 我的产品被列为“超出支持范围”。这意味着什么? 这些信息提供了关于CVE-2024-9676漏洞的详细描述、受影响的包、CVSS评分和常见问题解答。