关键信息 漏洞描述 名称: CVE-2024-8676 公开日期: 2024年11月27日 最近更新: 2024年11月26日 影响程度: 中等 CVSS v3 分数: 7.4 漏洞详情 描述: 在 CRI-O 中发现了一个漏洞,允许用户请求恢复容器的检查点存档,然后被要求恢复它。当进行恢复时,它尝试从恢复存档恢复挂载,而不是从恢复请求。结果,验证在 pod spec 上运行,验证 pod 是否具有访问它指定的挂载,这不适用于恢复的容器。这允许恶意用户通过恢复一个没有访问主机挂载的 pod 来欺骗 CRI-O。 缓解措施: 目前没有可用的缓解措施或可用的选项不符合 Red Hat 产品安全标准。 影响的包和 Red Hat 安全补丁 受影响的包: - Red Hat Enterprise Linux 8: container-tools:rhel8/common - Red Hat Enterprise Linux 8: container-tools:rhel8/podman - Red Hat Enterprise Linux 9: common - Red Hat OpenShift Container Platform 3.11: cri-o - Red Hat OpenShift Container Platform 4: common - Red Hat OpenShift Container Platform 4: cri-o - Red Hat OpenShift Container Platform 4: rhcos 状态: 不受影响或受影响 CVSS v3 分数详情 CVSS v3 基本分数: 7.4 攻击向量: 网络 攻击复杂性: 高 权限要求: 无 用户交互: 无 范围: 不变 机密性影响: 高 完整性影响: 高 可用性影响: 无 常见问题 为什么 Red Hat 的 CVSS v3 分数或影响与其他供应商不同? 我的产品被列为“正在调查”或“受影响”,Red Hat 何时会发布此漏洞的修复? 如果我的产品被列为“不会修复”,我该怎么办? 如果我的产品被列为“修复推迟”,我该怎么办? 什么是缓解措施? 我有 Red Hat 产品,但不在上述列表中,是否受影响? 为什么我的安全扫描器报告我的产品存在此漏洞,尽管我的产品版本已修复或不受影响? 我的产品被列为“超出支持范围”。这意味着什么? 外部参考 CVE-2024-8676 NVD 版权 CVE 描述版权 © 2021