______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Уязвимости в платформе Apache OpenWhisk могут привести к утечке данных

Проблемы позволяют злоумышленникам переписывать исходный код определенных функций.

Исследователи безопасности из компании PureSec сообщили о наличии опасных уязвимостей (CVE-2018-11756 и CVE-2018-11757) в облачной платформе для бессерверных вычислений Apache OpenWhisk. Обнаруженные проблемы могут привести к раскрытию конфиденциальной информации.

Программное обеспечение Apache OpenWhisk выполняет функции в ответ на определенные события. Платформа использует быстрое автоматическое масштабирование и содержит программу, которая может использоваться для создания функций в виде облачных обработчиков событий, выполняющих функции автоматически в среде запуска контейнеров.

Однако при определенных условиях удаленные злоумышленники могут изменять и перезаписывать исходный код функций. Когда действия запускаются в OpenWhisk, система взаимодействует с ними через интерфейс REST. В каждом контейнере есть две конечные точки — init и run. Если действие содержит уязвимости, злоумышленники могут отправить локальный HTTP-запрос для точки init в интерфейсе REST через порт 8080.

Запрос может быть отправлен путем эксплуатации уязвимости межсайтового скриптинга или проблемы подделки запроса со стороны сервера (Server-Side Request Forgery, SSRF) в действии либо путем использования функции eval (). Успешная атака может привести к утечке данных, принадлежащих разным конечным пользователям.

Исследователи уведомили разработчиков о проблемах. В настоящее время уязвимости уже исправлены.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх