На этой странице приводятся рекомендации специалистов {{ yandex-cloud }} по вопросам безопасности.
Уязвимость CVE-2021-44228 содержится в библиотеке Apache Log4j, в версиях от 2.14.1 и ниже.
Был обнаружен эксплойт нулевого дня, который приводит к удаленному выполнению кода (RCE) путем записи в журнал определенной строки.
Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена функция message lookup substitution . Начиная с версии log4j 2.15.0, это поведение отключено по умолчанию.
Подробное описание эксплойта и поведения представлено в материале Lunasec.
Исходный отчёт от logging.apache.org: Fixed in Log4j 2.15.0.
Описание уязвимости: CVE-2021-44228.
CVSSv3.1 рейтинг: 9.8 [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C] Подробнее: https://www.securitylab.ru/vulnerability/527362.php
Библиотека Log4j включена в почти все enterprise-решения Apache Software Foundation, такие как: Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и т.д.
Предположительно, влияние уязвимости есть в таких open-source продуктах, как Redis, ElasticSearch, Elastic Logstash, the NSA’s Ghidra и т.д.
Версия библиотеки, подверженная уязвимости, была использована в некоторых сервисах {{ yandex-cloud }}. Наиболее критичные сервисы, которые были подвержены уязвимости: {{ mes-full-name }}, {{ dataproc-full-name }}, а также ряд базовых сервисов платформы.
Критичные сервисы успешно обновлены в соответствии с рекомендациями производителя. Остальные сервисы находятся в процессе обновления.
Со стороны {{ yandex-cloud }} была собрана информация по пользователям, которые использовали подобные сервисы, и были отправлены соответствующие оповещения.
В настоящее время ведется поиск дополнительных сервисов, которые могут быть подвержены уязвимости, с целью их обновления.
По результатам финальных работ будет выполнено обновление данного бюллетеня.
Если в вашей инфраструктуре используется данная библиотека или продукты, которые упомянуты в разделе «Общее влияние», выполните следующие действия.
Обновите уязвимое ПО до версии log4j-2.15.0-rc2 или выше. Если вы используете уязвимую версии ПО от 2.10 и выше, уязвимости можно избежать путем установки параметра log4j2.formatMsgNoLookups в значение true или удалением JndiLookup class из classpath (пример: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class).
Если используется Java 8u121, защититесь от RCE установкой параметров com.sun.jndi.rmi.object.trustURLCodebase и com.sun.jndi.cosnaming.object.trustURLCodebase в false. Источник: https://logging.apache.org/log4j/2.x/security.html
В Kubernetes обнаружена уязвимость, которая позволяет получить несанкционированный доступ к файловой системе ноды при авторизации пользователя в кластере.
{{ managed-k8s-full-name }} не поддерживает анонимный доступ в кластер и не подвержен уязвимости со стороны внешнего нарушителя.
Для устранения вектора атак со стороны внутреннего нарушителя обновите все существующие кластеры и группы узлов в сервисе до версии 1.19 или выше. Если ваши кластеры и группы узлов уже обновлены до версии 1.19 или выше, обновите ревизии. Обновление, которое закрывает уязвимости, доступно во всех релизных каналах.
Также рекомендуем:
- Автоматически обновлять кластеры и группы узлов до последних версий или ревизий.
- Планировать ручные обновления хотя бы раз в месяц, если вы не можете применять автоматические обновления.
- Запретить запускать поды от имени пользователя root для недоверенных загрузок.
Для этого можно использовать следующие инструменты:
Чеклист для безопасной конфигурации Kubernetes доступен по ссылке.
В 32-битной версии {{ RD }} версии 4.0 и выше обнаружена уязвимость типа integer overflow, которая при определенных условиях может привести к удаленному выполнению кода.
{{ mrd-full-name }} использует 64 битную версию {{ RD }} и не подвережен уязвимости.
В приложении sudo был найден ряд уязвимостей CVE-2021-3156, которые позволяют непривилигированному пользвателю системы повысить свои привилегии до пользователя root.
Были обновлены следующие образы операционных систем Linux:
- все образы от издателя {{ yandex-cloud }}, доступные в {{ marketplace-name }};
- образ {{ coi }};
- образ, который используется для создания узлов в сервисе {{ managed-k8s-short-name }};
- образы, которые используются для создания кластеров управляемых баз данных;
- образ, который используется для создания кластеров {{ dataproc-short-name }}.
- Buffer overflow in command line unescaping
- CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit)
В системе управления базами данных PostgreSQL была обнаружена уязвимость CVE-2020-25695, которая позволяет непревилигерованному пользователю, при наличии у него прав на создание не временных объектов, выполнять произвольные SQL запросы от имени суперпользователя.
Все системы управления базами данных PostgreSQL, используемые в рамках сервиса Yandex Managed Service for PostgreSQL, были обновлены.
Чтобы повысить безопасность передачи данных, {{ yandex-cloud }} рекомендует всем пользователям перейти на использование технологий, которые обеспечивают шифрование по протоколу TLS 1.2 и выше.
Все сервисы {{ yandex-cloud }} поддерживают TLS 1.2 и выше. Поддержка устаревших протоколов будет постепенно прекращена. Рекомендуем заранее переключить существующие приложения на использование актуальных версий TLS.
Уязвимость в Windows Netlogon Remote Protocol позволяет неаутентифицированному атакующему с сетевым доступом к контроллеру домена скомпрометировать все службы идентификации Active Directory.
Исходный отчёт Secura: Zerologon.
Описание уязвимости, составленное Microsoft: CVE-2020-1472.
Руководство по управлению изменениями от Microsoft: Управление изменениями в подключениях безопасного канала Netlogon, связанными с CVE-2020-1472.
Образы операционных систем, доступные пользователям {{ compute-full-name }}, уже содержат обновления, устраняющие уязвимость. Все виртуальные машины, созданные в {{ compute-full-name }} после выхода этого сообщения, защищены от описанной атаки.
В дополнение к обновлениям, для ограничения доступа к контроллеру домена из недоверенных сетей используйте следующие системы контроля доступа к сети:
- Windows Firewall или группы безопасности;
- перемещение контроллера домена за NAT-gateway.
Для некоторых моделей процессоров Intel компания VUSec обнаружила новую атаку под названием Special Register Buffer Data Sampling Attack (или CrossTalk). Данная атака позволяет злонамеренному процессу получить результаты, возвращаемые инструкциями RDRAND и RDSEED из другого процесса, при этом злонамеренный и легитимный процессы могут выполняться на разных физических ядрах процессора. Атаке присвоен номер CVE-2020-0543.
Отчет от Intel: Deep Dive: Special Register Buffer Data Sampling.
Модели процессоров, используемые в {{ yandex-cloud }}, не подвержены атаке CrossTalk.
Специалисты Netflix обнаружили три уязвимости в ядре Linux:
Оригинальный отчёт от Netflix: NFLX-2019-001.
Разбор уязвимости от Red Hat: TCP SACK PANIC.
- Инфраструктура {{ yandex-cloud }} была оперативно защищена и обновлена.
- Образы операционных систем, доступные пользователям Yandex Compute Cloud, были обновлены как только появились соответствующие исправления. Таким образом, новые виртуальные машины, создаваемые в Yandex Compute Cloud, не подвержены указанным уязвимостям.
Список доменов, внесенных в Public Suffix List:
- yandexcloud.net
- storage.yandexcloud.net
- website.yandexcloud.net
Домены из списка Public Suffix List получают свойства доменов верхнего уровня, как, например, домены .ru или .com:
- Браузеры не будут сохранять сookie, установленные на перечисленные домены.
- Браузеры не позволят поменять заголовок запроса
Originстраницы на корневые домены.
Больше информации можно найти в нашем блоге.
Данные изменения позволят повысить безопасность пользователей {{ yandex-cloud }}.