События

Уязвимости в платформе Apache OpenWhisk могут привести к утечке данных

Исследователи безопасности из компании PureSec сообщили о наличии опасных уязвимостей (CVE-2018-11756 и CVE-2018-11757) в облачной платформе для бессерверных вычислений Apache OpenWhisk. Обнаруженные проблемы могут привести к раскрытию конфиденциальной информации.

Программное обеспечение Apache OpenWhisk выполняет функции в ответ на определенные события. Платформа использует быстрое автоматическое масштабирование и содержит программу, которая может использоваться для создания функций в виде облачных обработчиков событий, выполняющих функции автоматически в среде запуска контейнеров.

Однако при определенных условиях удаленные злоумышленники могут изменять и перезаписывать исходный код функций. Когда действия запускаются в OpenWhisk, система взаимодействует с ними через интерфейс REST. В каждом контейнере есть две конечные точки - init и run. Если действие содержит уязвимости, злоумышленники могут отправить локальный HTTP-запрос для точки init в интерфейсе REST через порт 8080.

Запрос может быть отправлен путем эксплуатации уязвимости межсайтового скриптинга или проблемы подделки запроса со стороны сервера (Server-Side Request Forgery, SSRF) в действии либо путем использования функции eval (). Успешная атака может привести к утечке данных, принадлежащих разным конечным пользователям.

Исследователи уведомили разработчиков о проблемах. В настоящее время уязвимости уже исправлены.

Источник

Автор: Сергей Куприянов
24.07.2018 (17:01)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2020

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.