Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/07/2018
Troben dues vulnerabilitats a Apache OpenWhisk
PureSec troba dues fallades greus en OpenWhisk, l'arquitectura Function as a Service (execució de funcions en el núvol) on és possible canviar el codi a executar per qualsevol altre, la qual cosa obri la porta a problemes de seguretat de tot tipus.Risc: Alt
La fallada es detecta sempre que la funció legítima a executar utilitze l'interfície API REST del contenidor Docker que desplega en el núvol la funció remota per a executar-se.
En aqueix cas és possible enviar una nova funció a executar en el terminador /init que substituirà el procés pel nou que pot ser utilitzat en totes les execucions posteriors amb tot tipus de finalitats malicioses.
Sistemes Afectats:- openwhisk/action-php-v7.1:1.0.1 i anteriors
- openwhisk/action-php-v7.2:1.0.1 i anteriors
CVE-2018-11756, CVE-2018-11757
Solució:Actualitzar les llibreries d'openwhisk a /action-php-v7.1:1.0.2 o /action-php-v7.2:1.0.2 o posteriors
Notes: NoneFont: Hispasec - Una al día